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Gesetzentwurf 

der Bundesregierung 


Entwurf eines Gesetzes zur Änderung des Bundesdatenschutzgesetzes 
und anderer Gesetze 


A. Zielsetzung 

Der Gesetzentwurf dient der Anpassung des Bundesdatenschutzgesetzes und 
anderer Gesetze an die Richtlinie 95/46/EG des Europäischen Parlaments und 
des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Ver- 
arbeitung personenbezogener Daten und zum freien Datenverkehr (ABI. EG L 
Nr. 281 vom 23. November 1995, S. 31 ff). Die Richtlinie war bis zum 24. Ok- 
tober 1998 in deutsches Recht umzusetzen. Sie stärkt die Informationsrechte 
des Bürgers und verpflichtet die Mitgliedstaaten zur Einrichtung staatlicher 
Kontrollstellen, die die Einhaltung der in Umsetzung der Richtlinie ge- 
schaffenen nationalen Vorschriften überwachen. Durch die Richtlinie wird ein 
einheitliches Datenschutzniveau für die Ausführung und Anwendung des Ge- 
meinschaftsrechts durch die Mitgliedstaaten der EU geschaffen. Daher ist der 
innergemeinschaftliche Datenverkehr künftig dem inländischen gleichzustel- 
len. Für den Austausch personenbezogener Daten mit Drittstaaten sieht die 
Richtlinie ebenfalls die grundsätzliche Geltung der gemeinschaftlichen Stan- 
dards vor, ohne den Wirtschaftsverkehr unangemessen zu beeinträchtigen. 

Ferner wird mit dem Gesetzentwurf die Phase der Modernisierung und Verein- 
fachung des Datenschutzrechts durch Vorgaben an eine datenminimierende Ge- 
staltung und Auswahl von Kommunikationstechnik eingeleitet. 


B. Lösung 

Mit dem Gesetz wird die Richtlinie im Rahmen der Bundeskompetenzen in 
innerstaatliches Recht umgesetzt. 


C. Alternativen 

Keine 


D. Kosten der öffentlichen Haushalte 

Kosteneffekte für die öffentlichen Flaushalte lassen sich derzeit nicht abschät- 
zen. Der Gesetzentwurf ist darauf ausgerichtet, die Richtlinie in dem zwingend 
erforderlichen Umfang umzusetzen und dabei von den zur Verfügung stehen- 
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den Optionen in einer für Bund, Länder, Gemeinden und Wirtschaft möglichst 
kostengünstigen Weise Gebrauch zu machen. Die aufgrund von Artikel 1 1 der 
Richtlinie in das Bundesdatenschutzgesetz einzuführende Benachrichtigungs- 
pflicht des Betroffenen im öffentlichen Bereich über die Speicherung bzw. 
Übermittlung seiner Daten wird sich angesichts des weitgehenden Ausnahme- 
katalogs (vgl. § 19a Abs. 2) für die öffentlichen Stellen nahezu kostenneutral 
auswirken. Die vorgesehene Pflicht zur Bestellung behördlicher Datenschutz- 
beauftragter kann bei einzelnen Behörden zu zusätzlichem Personalaufwand 
und damit erhöhten Kosten führen. Ferner können die im Zuge der geplanten 
Modernisierung des Datenschutzrechts bereits eingeführten Anforderungen zur 
datenminimierenden Gestaltung und Auswahl von Kommunikationstechnik 
Mehrausgaben der Bundesbehörden erfordern. 


E. Sonstige Kosten 

Die Auswirkungen auf die Wirtschaft sind nicht quantiflzierbar. Die geplante 
Regelung wird voraussichtlich durch folgende Änderungen zu Mehrbelastun- 
gen der Wirtschaft führen: 

durch die Einführung von Informationspflichten im Rahmen der Erhebung 
personenbezogener Daten beim Betroffenen auch im nicht öffentlichen Bereich 
sowie durch die Einführung der sog. Vorabkontrolle für bestimmte automati- 
sierte Verarbeitungen. Ferner kann die nach dem Gesetzentwurf gebotene Aus- 
wahl von Kommunikationstechnik am Maßstab des Prinzips der Datenvermei- 
dung und -Sparsamkeit Mehrausgaben verursachen. 

Messbare Auswirkungen auf das Preisniveau, insbesondere auf das Ver- 
braucherpreisniveau, sind nicht zu erwarten. 

Durch die Folgeänderungen der Richtlinie im Sozialdatenschutz des Ersten und 
Zehnten Buches Sozialgesetzbuch (Artikel 8 des Entwurfs) entstehen für die 
sozialen Sicherungssysteme durch den Vollzug des Gesetzes wie bei öffent- 
lichen Flaushalten derzeit nicht abschätzbare Kosteneffekte. 
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Bundesrepublik Deutschland 

Der Bundeskanzler Berlin, den 12. Oktober 2000 

022 (132) -273 82 -Da 35/00 


An den 

Präsidenten des 
Deutschen Bundestages 
Platz der Republik 


11011 Berlin 


Hiermit übersende ich den von der Bundesregierung beschlossenen 

Entwurf eines Gesetzes zur Änderung des Bundesdatenschutzgesetzes und ande- 
rer Gesetze 

mit Begründung und Vorblatt (Anlage 1). 

Ich bitte, die Beschlussfassung des Deutschen Bundestages herbeizuführen. 
Federführend ist das Bundesministerium des Innern. 

Der Bundesrat hat in seiner 754. Sitzung am 29. September 2000 gemäß Artikel 76 
Abs. 2 des Grundgesetzes beschlossen, zu dem Gesetzentwurf wie aus Anlage 2 ersicht- 
lich Stellung zu nehmen. 

Die Gegenäußerung der Bundesregierung zu der Stellungnahme des Bundesrates wird 
nachgereicht. 


Gerhard Schröder 
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Anlage 1 

Entwurf eines Gesetzes zur Änderung des Bundesdatenschutzgesetzes und 
anderer Gesetze^) 


Der Bundestag hat mit Zustimmung des Bundesrates das 
folgende Gesetz beschlossen: 

Artikel 1 

Änderung des Bundesdatensehutzgesetzes 

Das Bundesdatenschutzgesetz vom 20. Dezember 1990 
(BGBl. 1 S. 2954), zuletzt geändert durch Artikel 2 Abs. 5 
des Gesetzes vom 17. Dezember 1997 (BGBl. 1 S. 3108), 
wird wie folgt geändert: 

1 . Nach der Überschrift wird folgende Inhaltsübersicht ein- 
gefügt: 

„Inhaltsübersicht 
Erster Abschnitt 

Allgemeine und gemeinsame Bestimmungen 

§ 1 Zweck und Anwendungsbereich des Gesetzes 

§ 2 Öffentliche und nicht öffentliche Stellen 

§ 3 Weitere Begriffsbestimmungen 

§ 3a Datenvermeidung und Datensparsamkeit 

§ 4 Zulässigkeit der Datenerhebung, -Verarbeitung 
und -nutzung 

§ 4a Einwilligung 

§ 4b Übermittlung personenbezogener Daten ins Aus- 
land sowie an über- und zwischenstaatliche Stel- 
len 

§ 4c Ausnahmen 

§ 4d Meldepflicht 

§ 4e Inhalt der Meldepflicht 

§ 4f Beauftragter für den Datenschutz 

§ 4g Aufgaben des Beauftragten für den Datenschutz 

§ 5 Datengeheimnis 

§ 6 Unabdingbare Rechte des Betroffenen 

§ 6a Automatisierte Einzelentscheidung 

§ 6b Beobachtung öffentlich zugänglicher Räume mit 
optisch-elektronischen Einrichtungen 

§ 7 Schadensersatz 

§ 8 Schadensersatz bei automatisierter Datenverarbei- 
tung durch öffentliche Stellen 

§ 9 Technische und organisatorische Maßnahmen 

§ 9a Datenschutzaudit 


*) Dieses Gesetz dient der Umsetzung der Riehtlinie 95/46/EG des Eu- 
ropäischen Parlaments und des Rates vom 24. Oktober 1995 zum 
Schutz natürlicher Personen bei der Verarbeitung personenbezogener 
Daten und zum freien Datenverkehr (ABI. EG Nr. L 28 1 vom 23 . No- 
vember 1995, S. 31 ff). 


§10 

Einrichtung automatisierter Abrufverfahren 

§11 

Erhebung, Verarbeitung oder Nutzung personen- 
bezogener Daten im Auftrag 


Zweiter Abschnitt 

Datenverarbeitung der öffentlichen Stellen 


Erster Unterabschnitt 

Rechtsgrundlagen der Datenverarbeitung 

§12 

Anwendungsbereich 

§13 

Datenerhebung 

§14 

Datenspeicherung, -Veränderung und -nutzung 

§15 

Datenübermittlung an öffentliche Stellen 

§16 

Datenübermittlung an nicht öffentliche Stellen 

§17 

aufgehoben 

§18 

Durchführung des Datenschutzes in der Bundes- 
verwaltung 


Zweiter Unterabschnitt 

Rechte des Betroffenen 

§19 

Auskunft an den Betroffenen 

§19a 

Benachrichtigung 

§20 

Berichtigung, Löschung und Sperrung von 
Daten; Widerspruchsrecht 

§21 

Anrufung des Bundesbeauftragten für den 
Datenschutz 


Dritter Unterabschnitt 
Bundesbeauftragter für den Datenschutz 

§22 

Wahl des Bundesbeauftragten für den Daten- 
schutz 

§23 

Rechtsstellung des Bundesbeauftragten für den 
Datenschutz 

§24 

Kontrolle durch den Bundesbeauftragten für den 
Datenschutz 

§25 

Beanstandungen durch den Bundesbeauftragten 
für den Datenschutz 

§26 

Weitere Aufgaben des Bundesbeauftragten für 
den Datenschutz 


Dritter Abschnitt 


Datenverarbeitung nicht öffentlicher Stellen und 
öffentlich-rechtlicher Wettbewerbsunternehmen 

Erster Unterabschnitt 
Rechtsgrundlagen der Datenverarbeitung 

§ 27 Anwendungsbereich 

§ 28 Datenerhebung, -Verarbeitung und -nutzung für 

eigene Zwecke 

§ 29 Geschäftsmäßige Datenerhebung und -Speiche- 
rung zum Zwecke der Übermittlung 
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§ 30 Geschäftsmäßige Datenerhebung und -Speiche- 
rung zum Zwecke der Übermittlung in anonymi- 
sierter Form 

§ 3 1 Besondere Zweckbindung 

§ 32 aufgehoben 

Zweiter Unterabschnitt 
Rechte des Betroffenen 

§ 33 Benachrichtigung des Betroffenen 

§ 34 Auskunft an den Betroffenen 

§ 35 Berichtigung, Löschung und Sperrung von 
Daten 

Dritter Unterabschnitt 
Aufsichtsbehörde 

§ 36 aufgehoben 

§ 37 aufgehoben 

§ 38 Aufsichtsbehörde 

§ 38a Verhaltensregeln zur Förderung der Durchfüh- 

rung datenschutzrechtlicher Regelungen 

Vierter Abschnitt 
Sondervorschriften 

§ 39 Zweckbindung bei personenbezogenen Daten, 
die einem Berufs- oder besonderen Amtsgeheim- 
nis unterliegen 

§ 40 Verarbeitung und Nutzung personenbezogener 
Daten durch Forschungseinrichtungen 

§ 41 Erhebung, Verarbeitung und Nutzung personen- 
bezogener Daten durch die Medien 

§ 42 Datenschutzbeauftragter der Deutschen Welle 

Fünfter Abschnitt 
Schlussvorschriften 

§ 43 Strafvorschriften 

§ 44 Bußgeldvorschriften 

Sechster Abschnitt 
Übergangsvorschriften 

§ 45 Laufende Verwendungen 

§ 46 Weitergeltung von Begriffsbestimmungen 

Anlage 

(zu § 9 Satz 1)“ 

2. Die Überschrift vor § 1 wird wie folgt gefasst: 

„Erster Abschnitt 

Allgemeine und gemeinsame Bestimmungen“ 

3. § 1 wird wie folgt geändert: 

a) Absatz 2 Nr. 3 wird wie folgt gefasst: 

„nicht öffentliche Stellen, soweit sie die Daten unter 
Einsatz von Datenverarbeitungsanlagen verarbeiten, 
nutzen oder dafür erheben oder die Daten in oder aus 
nicht automatisierten Dateien verarbeiten, nutzen 
oder dafür erheben, es sei denn, die Erhebung, Verar- 
beitung oder Nutzung der Daten erfolgt ausschließ- 
lich für persönliche oder familiäre Tätigkeiten.“ 


b) Absatz 3 wird aufgehoben. 

c) Die bisherigen Absätze 4 und 5 werden die Absätze 3 
und 4. 

d) Nach Absatz 4 wird folgender Absatz 5 eingefügt: 

„(5) Dieses Gesetz findet keine Anwendung, so- 
fern eine in einem anderen Mitgliedstaat der Europäi- 
schen Union belegene verantwortliche Stelle perso- 
nenbezogene Daten im Inland erhebt, verarbeitet 
oder nutzt, es sei denn, dies erfolgt durch eine Nie- 
derlassung im Inland. Dieses Gesetz findet Anwen- 
dung, sofern eine außerhalb der Europäischen Union 
belegene verantwortliche Stelle personenbezogene 
Daten im Inland erhebt, verarbeitet oder nutzt. So- 
weit die verantwortliche Stehe nach diesem Gesetz 
zu nennen ist, sind auch Angaben über im Inland an- 
sässige Vertreter zu machen. Die Sätze 2 und 3 gehen 
nicht, sofern Datenträger nur zum Zwecke des Tran- 
sits durch das Inland eingesetzt werden. § 38 Abs. 1 
Satz 1 bleibt unberührt.“ 

4. § 3 wird wie folgt geändert: 

a) Absatz 2 wird wie folgt gefasst: 

„Automatisierte Verarbeitung ist die Erhebung, 
Verarbeitung oder Nutzung personenbezogener Da- 
ten unter Einsatz von Datenverarbeitungsanlagen. 
Eine nicht automatisierte Datei ist jede nicht automa- 
tisierte Sammlung personenbezogener Daten, die 
gleichartig aufgebaut ist und nach bestimmten Merk- 
malen zugänglich ist und ausgewertet werden kann.“ 

b) Absatz 3 wird aufgehoben. 

c) Die bisherigen Absätze 4 bis 9 werden die Absätze 3 
bis 8. 

d) Absatz 4 Satz 2 Nr. 3 wird wie folgt geändert: 

aa) Nach dem Wort „Dritten“ wird der Klammerzu- 
satz „(Empfänger)“ gestrichen. 

bb) In Buchstabe a werden die Wörter „durch die 
speichernde Stelle an den Empfänger“ durch die 
Wörter „an den Dritten“ ersetzt. 

cc) In Buchstabe b werden die Wörter „Empfänger 
von der speichernden Stehe“ durch das Wort 
„Dritte“ ersetzt. 

e) Nach Absatz 6 wird folgender Absatz eingefügt: 

„(6a) Pseudonymisieren ist das Ersetzen des Na- 
mens und anderer Identifikationsmerkmale durch ein 
Kennzeichen zu dem Zweck, die Bestimmung des 
Betroffenen auszuschließen oder wesentlich zu er- 
schweren.“ 

f) Die Absätze 7 und 8 werden wie folgt gefasst: 

„(7) Verantwortliche Stelle ist jede Person oder 
Stelle, die personenbezogene Daten für sich selbst er- 
hebt, verarbeitet oder nutzt oder dies durch andere im 
Auftrag vornehmen lässt. 

(8) Empfänger ist jede Person oder Stelle, die Da- 
ten erhält. Dritter ist jede Person oder Stelle außer- 
halb der verantwortlichen Stelle. Dritte sind nicht der 
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Betroffene sowie diejenigen Personen und Stellen, 
die im Inland oder im Geltungsbereich der Rechts- 
vorschriften zum Schutz personenbezogener Daten 
der Mitgliedstaaten der Europäischen Union perso- 
nenbezogene Daten im Auftrag erheben, verarbeiten 
oder nutzen.“ 

g) Nach Absatz 8 wird folgender Absatz angefugt: 

„(9) Besondere Arten personenbezogener Daten 
sind Angaben über die rassische und ethnische Her- 
kunft, politische Meinungen, religiöse oder philoso- 
phische Überzeugungen, Gewerkschaftszugehörig- 
keit, Gesundheit oder Sexualleben. 

5. Nach § 3 wird der folgende § 3a eingefügt: 

„§ 3a 

Datenvermeidung und Datensparsamkeit 

Gestaltung und Auswahl von Datenverarbeitungssys- 
temen haben sich an dem Ziel auszurichten, keine oder 
so wenig personenbezogene Daten wie möglich zu erhe- 
ben, zu verarbeiten oder zu nutzen. Insbesondere ist von 
den Möglichkeiten der Anonymisierung und Pseudony- 
misierung Gebrauch zu machen, soweit dies möglich ist 
und der Aufwand in einem angemessenen Verhältnis zu 
dem angestrebten Schutzzweck steht.“ 

6. § 4 wird wie folgt gefasst: 

„§4 

Zulässigkeit der Datenerhebung, -Verarbeitung 
und -nutzung 

(1) Die Erhebung, Verarbeitung und Nutzung perso- 
nenbezogener Daten sind nur zulässig, soweit dieses Ge- 
setz oder eine andere Rechtsvorschrift dies erlaubt oder 
anordnet oder der Betroffene eingewilligt hat. 

(2) Personenbezogene Daten sind beim Betroffenen 
zu erheben. Ohne seine Mitwirkung dürfen sie nur erho- 
ben werden, wenn 

1. eine Rechtsvorschrift dies vorsieht oder zwingend 
voraussetzt oder 

2. a) die zu erfüllende Verwaltungsaufgabe ihrer Art 

nach oder der Geschäftszweck eine Erhebung bei 
anderen Personen oder Stellen erforderlich macht 
oder 

b) die Erhebung beim Betroffenen einen unverhält- 
nismäßigen Aufwand erfordern würde 

und keine Anhaltspunkte dafür bestehen, dass über- 
wiegende schutzwürdige Interessen des Betroffenen 
beeinträchtigt werden. 

(3) Werden personenbezogene Daten beim Betroffe- 
nen erhoben, so ist er, sofern er nicht bereits auf andere 
Weise Kenntnis erlangt hat, von der verantwortlichen 
Stelle über 

1 . die Identität der verantwortlichen Stelle, 

2. die Zweckbestimmungen der Erhebung, Verarbeitung 
oder Nutzung und 


3. die Kategorien von Empfängern nur, soweit der Be- 
troffene nach den Umständen des Einzelfalles nicht 
mit der Übermittlung an diese rechnen muss, 

zu unterrichten. Werden personenbezogene Daten beim 
Betroffenen aufgrund einer Rechtsvorschrift erhoben, 
die zur Auskunft verpflichtet, oder ist die Erteilung der 
Auskunft Voraussetzung für die Gewährung von Rechts- 
vorteilen, so ist der Betroffene hierauf, sonst auf die 
Freiwilligkeit seiner Angaben hinzuweisen. Soweit nach 
den Umständen des Einzelfalles erforderlich oder auf 
Verlangen, ist er über die Rechtsvorschrift und über die 
Folgen der Verweigerung von Angaben aufzuklären. 

(4) Werden personenbezogene Daten statt beim Be- 
troffenen bei einer nicht öffentlichen Stelle erhoben, so 
ist die Stelle auf die Rechtsvorschrift, die zur Auskunft 
verpflichtet, sonst auf die Freiwilligkeit ihrer Angaben 
hinzuweisen.“ 

7. Nach § 4 werden folgende §§ 4a bis 4g eingefügt: 

„§4a 

Einwilligung 

(1) Die Einwilligung ist nur wirksam, wenn sie auf der 
freien Entscheidung des Betroffenen beruht. Er ist auf 
den vorgesehenen Zweck der Erhebung, Verarbeitung 
oder Nutzung sowie, soweit nach den Umständen des 
Einzelfalles erforderlich oder auf Verlangen, auf die Fol- 
gen der Verweigerung der Einwilligung hinzuweisen. 
Die Einwilligung bedarf der Schriftform, soweit nicht 
wegen besonderer Umstände eine andere Form ange- 
messen ist. Soll die Einwilligung zusammen mit anderen 
Erklärungen schriftlich erteilt werden, ist sie besonders 
hervorzuheben. 

(2) Im Bereich der wissenschaftlichen Forschung liegt 
ein besonderer Umstand im Sinne von Absatz 1 Satz 3 
auch dann vor, wenn durch die Schriftform der be- 
stimmte Forschungszweck erheblich beeinträchtigt 
würde. In diesem Fall sind der Hinweis nach Absatz 1 
Satz 2 und die Gründe, aus denen sich die erhebliche Be- 
einträchtigung des bestimmten Forschungszwecks er- 
gibt, schriftlich festzuhalten. 

(3) Soweit besondere Arten personenbezogener Daten 
(§ 3 Abs. 9) erhoben, verarbeitet oder genutzt werden, 
muss sich die Einwilligung darüber hinaus ausdrücklich 
auf diese Daten beziehen. 

§ 4b 

Übermittlung personenbezogener Daten ins Ausland so- 
wie an über- oder zwischenstaatliche Stellen 

(1) Für die Übermittlung personenbezogener Daten an 
Stellen innerhalb der Mitgliedstaaten der Europäischen 
Union im Anwendungsbereich von Artikel 3 der Richtli- 
nie 95/46/EG des Europäischen Parlaments und des Rates 
vom 24. Oktober 1995 zum Schutz natürlicher Personen 
bei der Verarbeitung personenbezogener Daten und zum 
freien Datenverkehr gelten § 15 Abs. 1, § 16 Abs. 1 und 
§§28 bis 30 entsprechend nach Maßgabe der für diese 
Übermittlung geltenden Gesetze und Vereinbarungen. 

(2) Für die Übermittlung personenbezogener Daten an 
Stellen der Mitgliedstaaten der Europäischen Union au- 
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ßerhalb des Anwendungsbereichs der in Absatz 1 ge- 
nannten Richtlinie, an sonstige ausländische Stellen oder 
an über- oder zwischenstaatliche Stellen gelten § 15 
Abs. 1, § 16 Abs. 1 und §§ 28 bis 30 entsprechend nach 
Maßgabe der für diese Übermittlung geltenden Gesetze 
und Vereinbarungen. Die Übermittlung unterbleibt, so- 
weit der Betroffene ein schutzwürdiges Interesse an dem 
Ausschluss der Übermittlung hat, insbesondere wenn bei 
den in Satz 1 genannten Stellen ein angemessenes Da- 
tenschutzniveau nicht gewährleistet ist. Satz 2 gilt nicht, 
wenn die Übermittlung zur Erfüllung eigener Aufgaben 
einer öffentlichen Stelle des Bundes aus zwingenden 
Gründen der Verteidigung oder der Erfüllung über- oder 
zwischenstaatlicher Verpflichtungen auf dem Gebiet der 
Krisenbewältigung oder Konftiktverhinderung oder für 
humanitäre Maßnahmen erforderlich ist. 

(3) Die Angemessenheit des Schutzniveaus wird unter 
Berücksichtigung aller Umstände beurteilt, die bei einer 
Datenübermittlung oder einer Kategorie von Datenüber- 
mittlungen von Bedeutung sind; insbesondere können 
die Art der Daten, die Zweckbestimmung, die Dauer der 
geplanten Verarbeitung, das Herkunfts- und das Endbe- 
stimmungsland, die für den betreffenden Empfänger gel- 
tenden Rechtsnormen sowie die für ihn geltenden Stan- 
desregeln und Sicherheitsmaßnahmen herangezogen 
werden. 

(4) In den Fällen des § 16 Abs. 1 Nr. 2 unterrichtet die 
übermittelnde Stelle den Betroffenen von der Übermitt- 
lung seiner Daten. Dies gilt nicht, wenn damit zu rech- 
nen ist, dass er davon auf andere Weise Kenntnis erlangt, 
oder wenn die Unterrichtung die öffentliche Sicherheit 
gefährden oder sonst dem Wohl des Bundes oder eines 
Landes Nachteile bereiten würde. 

(5) Die Verantwortung für die Zulässigkeit der Über- 
mittlung trägt die übermittelnde Stelle. 

(6) Die Stelle, an die die Daten übermittelt werden, ist 
darauf hinzuweisen, dass die übermittelten Daten nur zu 
dem Zweck verarbeitet oder genutzt werden dürfen, zu 
dessen Erfüllung sie übermittelt werden. 

§4e 

Ausnahmen 

( 1 ) Innerhalb des Anwendungsbereichs der in § 4b 
Abs. 1 genannten Richtlinie ist eine Übermittlung perso- 
nenbezogener Daten in einen Drittstaat oder an eine 
über- oder zwischenstaatliche Stelle, die kein angemes- 
senes Datenschutzniveau gewährleisten, zulässig, sofern 

1 . der Betroffene seine Einwilligung gegeben hat, 

2. die Übermittlung für die Erfüllung eines Vertrags 
zwischen dem Betroffenen und der verantwortlichen 
Stelle oder zur Durchführung von vorvertraglichen 
Maßnahmen, die auf Veranlassung des Betroffenen 
getroffen worden sind, erforderlich ist, 

3. die Übermittlung zum Abschluss oder zur Erfüllung 
eines Vertrags erforderlich ist, der im Interesse des 
Betroffenen von der verantwortlichen Stelle mit ei- 
nem Dritten geschlossen wurde oder geschlossen 
werden soll. 


4. die Übermittlung für die Wahrung eines wichtigen 
öffentlichen Interesses oder zur Geltendmachung, 
Ausübung oder Verteidigung von Rechtsansprüchen 
vor Gericht erforderlich ist, 

5. die Übermittlung für die Wahrung lebenswichtiger 
Interessen des Betroffenen erforderlich ist oder 

6. die Übermittlung aus einem Register erfolgt, das zur 
Information der Öffentlichkeit bestimmt ist und ent- 
weder der gesamten Öffentlichkeit oder allen Perso- 
nen, die ein berechtigtes Interesse nachweisen kön- 
nen, zur Einsichtnahme offen steht, soweit die ge- 
setzlichen Voraussetzungen im Einzelfall gegeben 
sind. 

Die Stelle, an die die Daten übermittelt werden, ist da- 
rauf hinzuweisen, dass die übermittelten Daten nur zu 
dem Zweck verarbeitet oder genutzt werden dürfen, zu 
dessen Erfüllung sie übermittelt werden. 

(2) Unbeschadet des Absatzes 1 kann die zuständige 
Aufsichtsbehörde eine Übermittlung oder eine Kategorie 
von Übermittlungen personenbezogener Daten in Dritt- 
staaten oder an über- oder zwischenstaatliche Stellen ge- 
nehmigen, die kein angemessenes Schutzniveau im Sinne 
des § 4b Abs. 3 gewährleisten, wenn die verantwortliche 
Stelle ausreichende Garantien hinsichtlich des Schutzes 
des Persönlichkeitsrechts und der Ausübung der damit 
verbundenen Rechte vorweist; diese Garantien können 
sich insbesondere aus Vertragsklauseln oder verbind- 
lichen Unternehmensregelungen ergeben. Bei den Post- 
und Telekommunikationsuntemehmen ist der Bundesbe- 
auftragte für den Datenschutz zuständig. Sofern die 
Übermittlung durch öffentliche Stellen erfolgen soll, neh- 
men diese die Prüfung nach Satz 1 vor. 

(3) Die Länder teilen dem Bund die nach Absatz 2 
Satz 1 ergangenen Entscheidungen mit. 

§4d 

Meldepflicht 

(1) Automatisierte Verarbeitungen sind vor ihrer In- 
betriebnahme von nicht öffentlichen verantwortlichen 
Stellen der zuständigen Aufsichtsbehörde und von öf- 
fentlichen verantwortlichen Stellen des Bundes sowie 
von den Post- und Telekommunikationsuntemehmen 
dem Bundesbeauftragten für den Datenschutz zu mel- 
den. 

(2) Die Meldepflicht entfällt, wenn die verantwortli- 
che Stelle einen Beauftragten für den Datenschutz be- 
stellt hat. 

(3) Die Meldepflicht entfällt ferner, wenn die verant- 
wortliche Stelle personenbezogene Daten für eigene 
Zwecke erhebt, verarbeitet oder nutzt, hierbei höchstens 
vier Arbeitnehmer mit der Erhebung, Verarbeitung oder 
Nutzung personenbezogener Daten beschäftigt und ent- 
weder eine Einwilligung der Betroffenen vorhegt oder 
die Erhebung, Verarbeitung oder Nutzung der Zweckbe- 
stimmung eines Vertragsverhältnisses oder vertragsähn- 
lichen Vertrauensverhältnisses mit den Betroffenen 
dient. 
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(4) Absätze 2 und 3 gelten nicht, wenn es sich um au- 
tomatisierte Verarbeitungen handelt, in denen geschäfts- 
mäßig personenbezogene Daten von der jeweiligen 
Stelle 

1 . zum Zwecke der Übermittlung oder 

2. zum Zwecke der anonymisierten Übermittlung 
gespeichert werden. 

(5) Soweit automatisierte Verarbeitungen besondere 
Risiken für die Rechte und Freiheiten der Betroffenen 
aufweisen, unterliegen sie der Prüfung vor Beginn der 
Verarbeitung (Vorabkontrolle). Eine Vorabkontrolle ist 
insbesondere durchzuführen, wenn 

1 . besondere Arten personenbezogener Daten (§ 3 
Abs. 9) verarbeitet werden oder 

2. die Verarbeitung personenbezogener Daten dazu be- 
stimmt ist, die Persönlichkeit des Betroffenen zu be- 
werten einschließlich seiner Fähigkeiten, seiner Leis- 
tung oder seines Verhaltens, 

es sei denn, dass eine gesetzliche Verpflichtung oder 
eine Einwilligung des Betroffenen vorhegt oder die Er- 
hebung, Verarbeitung oder Nutzung der Zweckbestim- 
mung eines Vertragsverhältnisses oder vertragsähnlichen 
Vertrauensverhältnisses mit dem Betroffenen dient. 

(6) Zuständig für die Vorabkontrolle ist der Beauf- 
tragte für den Datenschutz. Dieser nimmt die Vorabkon- 
trolle nach Empfang der Übersicht nach § 4g Abs. 2 
Satz 1 vor. Er hat sich in Zweifelsfällen an die Aufsichts- 
behörde oder bei den Post- und Telekommunikations- 
Unternehmen an den Bundesbeauftragten für den Daten- 
schutz zu wenden. 

§4e 

Inhalt der Meldepflicht 

Sofern automatisierte Verarbeitungen meldepflichtig 
sind, sind folgende Angaben zu machen: 

1 . Name oder Firma der verantwortlichen Stelle, 

2. Inhaber, Vorstände, Geschäftsführer oder sonstige ge- 
setzliche oder nach der Verfassung des Unterneh- 
mens berufene Leiter und die mit der Leitung der Da- 
tenverarbeitung beauftragten Personen, 

3. Anschrift der verantwortlichen Stelle, 

4. Zweckbestimmungen der Datenerhebung, -Verarbei- 
tung oder -nutzung, 

5. eine Beschreibung der betroffenen Personengruppen 
und der diesbezüglichen Daten oder Datenkatego- 
rien, 

6. Empfänger oder Kategorien von Empfängern, denen 
die Daten mitgeteilt werden können, 

7. Regelfristen für die Löschung der Daten, 

8. eine geplante Datenübermittlung in Drittstaaten, 

9. eine allgemeine Beschreibung, die es ermöglicht, 
vorläufig zu beurteilen, ob die Maßnahmen nach § 9 
zur Gewährleistung der Sicherheit der Verarbeitung 
angemessen sind. 


§ 4d Abs. 1 und 4 gilt für die Änderung der nach Satz 1 
mitgeteilten Angaben sowie für den Zeitpunkt der Auf- 
nahme und der Beendigung der meldepflichtigen Tätig- 
keit entsprechend. 

§4f 

Beauftragter für den Datenschutz 

(1) Öffentliche und nicht öffentliche Stellen, die per- 
sonenbezogene Daten automatisiert erheben, verarbeiten 
oder nutzen, haben einen Beauftragten für den Daten- 
schutz schriftlich zu bestellen. Nicht öffentliche Stellen 
sind hierzu spätestens innerhalb eines Monats nach Auf- 
nahme ihrer Tätigkeit verpflichtet. Das Gleiche gilt, 
wenn personenbezogene Daten auf andere Weise erho- 
ben, verarbeitet oder genutzt werden und damit in der 
Regel mindestens zwanzig Personen beschäftigt sind. 
Sätze 1 und 2 gehen nicht für nicht öffentliche Stellen, 
die höchstens vier Arbeitnehmer mit der Erhebung, Ver- 
arbeitung oder Nutzung personenbezogener Daten be- 
schäftigen. Soweit aufgrund der Struktur einer öffentli- 
chen Stelle erforderlich, genügt die Bestellung eines Be- 
auftragten für den Datenschutz für mehrere Bereiche. 
Soweit nicht öffentliche Stellen eine Vorabkontrolle 
durchzuführen haben oder personenbezogene Daten ge- 
schäftsmäßig zum Zweck der Übermittlung oder der 
anonymisierten Übermittlung erheben, verarbeiten oder 
nutzen, haben sie unabhängig von der Anzahl der Ar- 
beitnehmer einen Beauftragten für den Datenschutz zu 
bestellen. 

(2) Zum Beauftragten für den Datenschutz darf nur 
bestellt werden, wer die zur Erfüllung seiner Aufgaben 
erforderliche Fachkunde und Zuverlässigkeit besitzt. Mit 
dieser Aufgabe kann auch eine Person außerhalb der ver- 
antwortlichen Stelle betraut werden. Öffentliche Stellen 
können mit Zustimmung ihrer Aufsichtsbehörde einen 
Bediensteten aus einer anderen öffentlichen Stelle zum 
Beauftragten für den Datenschutz bestellen. 

(3) Der Beauftragte für den Datenschutz ist dem Lei- 
ter der öffentlichen oder nicht öffentlichen Stelle unmit- 
telbar zu unterstellen. Er ist in Ausübung seiner Fach- 
kunde auf dem Gebiet des Datenschutzes weisungsfrei. 
Er darf wegen der Erfüllung seiner Aufgaben nicht be- 
nachteiligt werden. Die Bestellung zum Beauftragten für 
den Datenschutz kann in entsprechender Anwendung 
von § 626 des Bürgerlichen Gesetzbuches, bei nicht öf- 
fentlichen Stellen auch auf Verlangen der Aufsichtsbe- 
hörde, widerrufen werden. 

(4) Der Beauftragte für den Datenschutz ist zur Ver- 
schwiegenheit über die Identität des Betroffenen sowie 
über Umstände, die Rückschlüsse auf den Betroffenen 
zulassen, verpflichtet, soweit er nicht davon durch den 
Betroffenen befreit wird. 

(5) Die öffentlichen und nicht öffentlichen Stellen ha- 
ben den Beauftragten für den Datenschutz bei der Erfül- 
lung seiner Aufgaben zu unterstützen und ihm insbeson- 
dere, soweit dies zur Erfüllung seiner Aufgaben erfor- 
derlich ist, Hilfspersonal sowie Räume, Einrichtungen, 
Geräte und Mittel zur Verfügung zu stellen. Betroffene 
können sich jederzeit an den Beauftragten für den Daten- 
schutz wenden. 
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§4g 

Aufgaben des Beauftragten für den Datenschutz 

(1) Der Beauftragte für den Datenschutz wirkt auf die 
Einhaltung dieses Gesetzes und anderer Vorschriften 
über den Datenschutz hin. Zu diesem Zweck kann sich 
in Zweifelsfällen der Beauftragte für den Datenschutz ei- 
ner öffentlichen Stelle im Benehmen mit dem Leiter der 
verantwortlichen Stelle an den Bundesbeauftragten für 
den Datenschutz wenden. Bei Unstimmigkeiten zwi- 
schen dem behördlichen Beauftragten für den Daten- 
schutz und dem Leiter der verantwortlichen Stehe ent- 
scheidet die oberste Bundesbehörde, ob sich der behörd- 
liche Beauftragte für den Datenschutz an den Bundesbe- 
auftragten für den Datenschutz wenden darf Der 
Beauftragte für den Datenschutz einer nicht öffentlichen 
Stelle kann sich in Zweifelsfällen an die Aufsichtsbe- 
hörde oder bei den Post- und Telekommunikationsunter- 
nehmen an den Bundesbeauftragten für den Datenschutz 
wenden. Er hat insbesondere 

1 . die ordnungsgemäße Anwendung der Datenverarbei- 
tungsprogramme, mit deren Hilfe personenbezogene 
Daten verarbeitet werden sollen, zu überwachen; zu 
diesem Zweck ist er über Vorhaben der automatisier- 
ten Verarbeitung personenbezogener Daten rechtzei- 
tig zu unterrichten, 

2. die bei der Verarbeitung personenbezogener Daten 
tätigen Personen durch geeignete Maßnahmen mit 
den Vorschriften dieses Gesetzes sowie anderen Vor- 
schriften über den Datenschutz und mit den jeweili- 
gen besonderen Erfordernissen des Datenschutzes 
vertraut zu machen. 

(2) Dem Beauftragten für den Datenschutz ist von der 
verantwortlichen Stehe eine Übersicht über die in § 4e 
Satz 1 genannten Angaben sowie über zugriffsberech- 
tigte Personen zur Verfügung zu stellen. Im Fall des § 4d 
Abs. 2 macht der Beauftragte für den Datenschutz die 
Angaben nach § 4e Nm. 1 bis 8 auf Antrag jedermann in 
geeigneter Weise verfügbar. Im Fall des § 4d Abs. 3 gilt 
Satz 2 entsprechend für die verantwortliche Stelle. 
Satz 2 findet keine Anwendung auf die in § 6 Abs. 2 
Satz 4 genannten Behörden.“ 

8. In § 5 Satz 1 werden nach dem Wort „unbefugt“ die 

Wörter „zu erheben,“ eingefügt. 

9. § 6 Abs. 2 wird wie folgt geändert: 

a) In Satz 1 werden die Wörter „in einer Datei gespei- 
chert, bei der“ durch die Wörter „automatisiert in 
der Weise gespeichert, dass“ und die Wörter „ , die 
speichernde Stehe festzustellen“ durch die Wörter 
„festzustellen, welche Stelle die Daten gespeichert 
hat“ ersetzt. 

b) In Satz 2 werden die Wörter „speichernde Stelle“ 
durch die Wörter „Stehe, die die Daten gespeichert 
hat,“ ersetzt. 

c) In Satz 3 werden die Wörter „die speichernde“ 
durch das Wort ,oene“ ersetzt. 

10. Nach § 6 werden die folgenden § 6a und 6b eingefügt: 


„§ 6a 

Automatisierte Einzelentscheidung 

(1) Entscheidungen, die für den Betroffenen eine 
rechtliche Folge nach sich ziehen oder ihn erheblich 
beeinträchtigen, dürfen nicht ausschließlich auf eine 
automatisierte Verarbeitung personenbezogener Daten 
gestützt werden, die der Bewertung einzelner Persön- 
lichkeitsmerkmale dienen. 

(2) Dies gilt nicht, wenn 

1 . die Entscheidung im Rahmen des Abschlusses oder 
der Erfüllung eines Vertragsverhältnisses oder eines 
sonstigen Rechtsverhältnisses ergeht und dem Be- 
gehren des Betroffenen stattgegeben wurde oder 

2. die Wahrung der berechtigten Interessen des Be- 
troffenen durch geeignete Maßnahmen gewährleis- 
tet und dem Betroffenen von der verantwortlichen 
Stelle die Tatsache des Vorliegens einer Entschei- 
dung im Sinne des Absatzes 1 mitgeteilt wird. Als 
geeignete Maßnahme gilt insbesondere die Mög- 
lichkeit des Betroffenen, seinen Standpunkt geltend 
zu machen. Die verantwortliche Stelle ist verpflich- 
tet, ihre Entscheidung erneut zu prüfen. 

(3) Das Recht des Betroffenen auf Auskunft nach 
§ 19 und § 34 erstreckt sich auch auf den logischen 
Aufbau der automatisierten Verarbeitung der ihn be- 
treffenden Daten. 

§ 6b 

Beobachtung öffentlich zugänglicher Räume mit 
optisch-elektronischen Einrichtungen 

(1) Die Beobachtung öffentlich zugänglicher Räume 
mit optisch-elektronischen Einrichtungen (Videoüber- 
wachung) ist nur zulässig, soweit dies zur Aufgabener- 
fühung, zur Wahrnehmung des Hausrechts oder zur Er- 
füllung eigener Geschäftszwecke erforderlich ist und 
keine Anhaltspunkte bestehen, dass schutzwürdige In- 
teressen der Betroffenen überwiegen. 

(2) Der Umstand der Beobachtung und die verant- 
wortliche Stehe sind durch geeignete Maßnahmen er- 
kennbar zu machen. 

(3) Die Speicherung von nach Absatz 1 erhobenen 
Daten ist zulässig, wenn dies zum Erreichen des ver- 
folgten Zwecks erforderlich ist. 

(4) Die Daten sind unverzüglich zu löschen, wenn 
sie zur Erreichung des Zwecks nicht mehr erforderlich 
sind oder schutzwürdige Interessen der Betroffenen ei- 
ner weiteren Speicherung entgegenstehen.“ 

1 1 . Die §§ 7 und 8 werden wie folgt gefasst: 

„§7 

Schadensersatz 

(1) Fügt eine verantwortliche Stelle dem Betroffe- 
nen durch eine nach diesem Gesetz oder nach anderen 
Vorschriften über den Datenschutz unzulässige oder 
unrichtige Erhebung, Verarbeitung oder Nutzung sei- 
ner personenbezogenen Daten schuldhaft einen Scha- 
den zu, ist ihr Träger dem Betroffenen zum Schadens- 
ersatz verpflichtet. Die Ersatzpflicht entfällt, soweit die 
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verantwortliche Stelle die nach den Umständen des 
Falles gebotene Sorgfalt beachtet hat. 

(2) Mehrere Ersatzpflichtige haften als Gesamt- 
schuldner. 

(3) Vorschriften, nach denen ein Ersatzpflichtiger in 
weiterem Umfang als nach dieser Vorschrift haftet oder 
nach denen ein anderer für den Schaden verantwortlich 
ist, bleiben unberührt. 

(4) Der Rechtsweg zu den ordentlichen Gerichten 
steht offen. 

§8 

Schadensersatz bei automatisierter 
Datenverarbeitung durch öffentliche Stellen 

(1) Fügt eine verantwortliche öffentliche Stehe dem 
Betroffenen durch eine nach diesem Gesetz oder nach 
anderen Vorschriften über den Datenschutz unzuläs- 
sige oder unrichtige automatisierte Erhebung, Verar- 
beitung oder Nutzung seiner personenbezogenen Daten 
einen Schaden zu, ist ihr Träger dem Betroffenen unab- 
hängig von einem Verschulden zum Schadensersatz 
verpflichtet. 

(2) Bei einer schweren Verletzung des Persönlich- 
keitsrechts ist dem Betroffenen der Schaden, der nicht 
Vermögensschaden ist, angemessen in Geld zu erset- 
zen. 

(3) Die Ansprüche nach den Absätzen 1 und 2 sind 
insgesamt auf einen Betrag von zweihundertfünfzig- 
tausend Deutsche Mark begrenzt. Ist aufgrund dessel- 
ben Ereignisses an mehrere Personen Schadensersatz 
zu leisten, der insgesamt den Höchstbetrag von zwei- 
hundertfünfzigtausend Deutsche Mark übersteigt, so 
verringern sich die einzelnen Schadensersatzleistungen 
in dem Verhältnis, in dem ihr Gesamtbetrag zu dem 
Höchstbetrag steht. 

(4) Sind bei einer automatisierten Verarbeitung meh- 
rere Stellen speicherungsberechtigt und ist der Geschä- 
digte nicht in der Lage, die speichernde Stelle festzu- 
stellen, so haftet jede dieser Stellen. 

(5) Auf das Mitverschulden des Betroffenen und die 
Verjährung sind die §§ 254 und 852 des Bürgerlichen 
Gesetzbuches entsprechend anzuwenden. 

(6) § 7 Abs. 2 bis 4 findet entsprechende Anwen- 
dung.“ 

12. In § 9 Satz 1 wird das Wort „verarbeiten“ durch die 
Wörter „erheben, verarbeiten oder nutzen“ ersetzt. 

13. Nach § 9 wird folgender § 9a eingefügt: 

„§ 9a 

Datenschutzaudit 

Zur Verbesserung des Datenschutzes und der Daten- 
sicherheit können Anbieter von Datenverarbeitungs- 
systemen und -Programmen und datenverarbeitende 
Stellen ihr Datenschutzkonzept sowie ihre technischen 
Einrichtungen durch unabhängige und zugelassene 
Gutachter prüfen und bewerten lassen sowie das Er- 
gebnis der Prüfung veröffentlichen. Die näheren An- 
forderungen an die Prüfung und Bewertung, das Ver- 


fahren sowie die Auswahl und Zulassung der Gutach- 
ter werden durch besonderes Gesetz geregelt.“ 

14. § 1 0 wird wie folgt geändert: 

a) In Absatz 2 Satz 2 Nr. 2 wird das Wort „Datenemp- 
fänger“ durch die Wörter „Dritte, an die übermittelt 
wird“ ersetzt. 

b) In Absatz 3 Satz 2 werden das Wort „der“ durch das 
Wort „das“, das Wort „Landesminister“ durch das 
Wort „Landesministerium“ und das Wort „haben“ 
durch das Wort „hat“ ersetzt sowie die Wörter 
„oder deren Vertreter“ gestrichen. 

c) In Absatz 4 Satz 1 wird das Wort „Empfänger“ 
durch die Wörter „Dritte, an den übermittelt wird“ 
ersetzt. 

15. § 1 1 wird wie folgt geändert: 

a) In der Überschrift wird vor dem Wort „Verarbei- 
tung“ das Wort „Erhebung,“ eingefügt. 

b) In Absatz 1 Satz 1 wird vor dem Wort „verarbeitet“ 
das Wort „erhoben,“ eingefügt. 

c) In Absatz 1 Satz 2 werden die Worte „bis 8“ durch 
„ , 7 und 8“ ersetzt. 

d) Absatz 2 wird wie folgt geändert: 

aa) In Satz 2 wird das Wort „Datenverarbeitung“ 
durch die Wörter „Datenerhebung, -Verarbei- 
tung“ ersetzt. 

bb) Dem Absatz wird folgender Satz angefügt: 

„Der Auftraggeber hat sich von der Einhaltung 
der getroffenen technischen und organisatori- 
schen Maßnahmen beim Auftragnehmer zu 
überzeugen.“ 

e) In Absatz 3 Satz 1 wird vor dem Wort „verarbeiten“ 
das Wort „erheben,“ eingefügt. 

f) In Absatz 4 Nr. 2 wird vor dem Wort „verarbeiten“ 
das Wort „erheben,“ eingefügt und die Angabe „32, 
36 bis“ durch die Angabe „4f, 4g und“ ersetzt. 

g) Nach Absatz 4 wird folgender Absatz 5 angefügt: 

„(5) Die Absätze 1 bis 4 gelten entsprechend, 
wenn die Prüfung oder Wartung automatisierter 
Verfahren oder von Datenverarbeitungsanlagen 
durch andere Stellen im Auftrag vorgenommen 
wird und dabei ein Zugriff auf personenbezogene 
Daten nicht ausgeschlossen werden kann.“ 

16. § 12 wird wie folgt geändert: 

a) In Absatz 2 wird die Angabe „17, 19 und“ durch die 
Angabe „16, 19 bis“ ersetzt. 

b) Absatz 4 wird wie folgt gefasst: 

„(4) Werden personenbezogene Daten für frü- 
here, bestehende oder zukünftige dienst- oder ar- 
beitsrechtliche Rechtsverhältnisse erhoben, verar- 
beitet oder genutzt, gelten anstelle der §§ 13 bis 16, 
19 bis 20 der § 28 Abs. 1 und 3 Nr. 1 sowie die 
§§ 33 bis 35, auch soweit personenbezogene Daten 
weder automatisiert verarbeitet noch in nicht auto- 
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matisierten Dateien verarbeitet oder genutzt oder 
dafür erhoben werden.“ 

17. § 13 wird wie folgt geändert: 

a) ln Absatz 1 werden die Worte „erhebenden Stellen“ 
durch die Worte „verantwortlichen Stelle“ ersetzt. 

b) Absatz 2 wird wie folgt gefasst: 

„(2) Das Erheben besonderer Arten personenbe- 
zogener Daten (§ 3 Abs. 9) ist nur zulässig, soweit 

1. eine Rechtsvorschrift dies vorsieht oder aus 
Gründen eines wichtigen öffentlichen Interesses 
zwingend erfordert, 

2. der Betroffene nach Maßgabe des § 4a Abs. 3 
eingewihigt hat, 

3. dies zum Schutz lebenswichtiger Interessen des 
Betroffenen oder eines Dritten erforderlich ist, 
sofern der Betroffene aus physischen oder recht- 
lichen Gründen außerstande ist, seine Einwilli- 
gung zu geben, 

4. es sich um Daten handelt, die der Betroffene of- 
fenkundig öffentlich gemacht hat, 

5. dies zur Abwehr einer erheblichen Gefahr für 
die öffentliche Sicherheit erforderlich ist, 

6. dies zur Abwehr erheblicher Nachteile für das 
Gemeinwohl oder zur Wahrung erheblicher Be- 
lange des Gemeinwohls zwingend erforderlich 
ist, 

7. dies zum Zweck der Gesundheitsvorsorge, der 
medizinischen Diagnostik, der Gesundheitsver- 
sorgung oder Behandlung oder für die Verwal- 
tung von Gesundheitsdiensten erforderlich ist 
und die Verarbeitung dieser Daten durch ärztli- 
ches Personal oder durch sonstige Personen er- 
folgt, die einer entsprechenden Geheimhal- 
tungspflicht unterliegen, 

8. dies zur Durchführung wissenschaftlicher For- 
schung erforderlich ist, das wissenschaftliche 
Interesse an der Durchführung des Forschungs- 
vorhabens das Interesse des Betroffenen an dem 
Ausschluss der Erhebung erheblich überwiegt 
und der Zweck der Forschung auf andere Weise 
nicht oder nur mit unverhältnismäßigem Auf- 
wand erreicht werden kann oder 

9. dies aus zwingenden Gründen der Verteidigung 
oder der Erfüllung über- oder zwischenstaatli- 
cher Verpflichtungen einer öffentlichen Stelle 
des Bundes auf dem Gebiet der Krisenbewälti- 
gung oder Konfliktverhinderung oder für huma- 
nitäre Maßnahmen erforderlich ist.“ 

c) Die Absätze 3 und 4 werden aufgehoben. 


18. § 14 wird wie folgt geändert: 

a) In Absatz 1 wird das Wort „speichernden“ durch 
das Wort „verantwortlichen“ ersetzt. 

b) Absatz 2 wird wie folgt geändert: 

aa) In Nummer 5 wird das Wort „speichernde“ 
durch das Wort „verantwortliche“ ersetzt. 

bb) In Nummer 6 werden nach dem Wort „einer“ 
die Wörter „sonst unmittelbar drohenden“ ge- 
strichen und nach dem Wort „Sicherheit“ die 
Wörter „oder zur Wahrung erheblicher Belange 
des Gemeinwohls“ eingefügt. 

c) In Absatz 3 Satz 1 und 2 wird jeweils das Wort 
„speichernde“ durch das Wort „verantwortliche“ er- 
setzt. 

d) Nach Absatz 4 werden folgende Absätze 5 und 6 
angefügt: 

„(5) Das Speichern, Verändern oder Nutzen von 
besonderen Arten personenbezogener Daten (§ 3 
Abs. 9) für andere Zwecke ist nur zulässig, wenn 

1. die Voraussetzungen vorhegen, die eine Erhe- 
bung nach § 13 Abs. 2 Nr. 1 bis 6 oder 9 zulas- 
sen würden oder 

2. dies zur Durchführung wissenschaftlicher For- 
schung erforderlich ist, das öffentliche Interesse 
an der Durchführung des Forschungsvorhabens 
das Interesse des Betroffenen an dem Aus- 
schluss der Zweckänderung erheblich überwiegt 
und der Zweck der Forschung auf andere Weise 
nicht oder nur mit unverhältnismäßigem Auf- 
wand erreicht werden kann. 

Bei der Abwägung nach Satz 1 Nr. 2 ist im Rahmen 
des öffentlichen Interesses das wissenschaftliche 
Interesse an dem Forschungsvorhaben besonders zu 
berücksichtigen. 

(6) Die Speicherung, Veränderung oder Nutzung 
von besonderen Arten personenbezogener Daten 
(§3 Abs. 9) zu den in § 13 Abs. 2 Nr. 7 genannten 
Zwecken richtet sich nach den für die in § 13 
Abs. 2 Nr. 7 genannten Personen geltenden Ge- 
heimhaltungspflichten.“ 

19. § 15 wird wie folgt geändert: 

a) In Absatz 1 Nr. 1 und Absatz 2 Satz 2 und 3 werden 
jeweils das Wort „Empfängers“ durch die Wörter 
„Dritten, an den die Daten übermittelt werden,“ er- 
setzt. 

b) In Absatz 3 werden die Wörter „Empfänger darf die 
übermittelten Daten“ durch die Wörter „Dritte, an 
den die Daten übermittelt werden, darf diese“ er- 
setzt. 

c) In Absatz 4 werden die Wörter „dem Empfänger“ 
durch das Wort „diesen“ ersetzt. 

d) In Absatz 5 werden die Wörter „in Akten“ gestri- 
chen. 

20. § 16 wird wie folgt geändert: 
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a) Absatz 1 wird wie folgt geändert: 

aa) ln Nummer 2 wird das Wort „Empfänger“ 
durch die Wörter „Dritte, an den die Daten 
übermittelt werden,“ ersetzt. 

bb) Der Nummer 2 wird folgender Satz angefiigt: 

„Das Übermitteln von besonderen Arten perso- 
nenbezogener Daten (§ 3 Abs. 9) ist abwei- 
chend von Satz 1 Nr. 2 nur zulässig, wenn die 
Voraussetzungen vorliegen, die eine Nutzung 
nach § 14 Abs. 5 und 6 zulassen würden oder 
soweit dies zur Geltendmachung, Ausübung 
oder Verteidigung rechtlicher Ansprüche erfor- 
derlich ist.“ 

b) Absatz 4 wird wie folgt geändert: 

aa) ln Satz 1 werden die Wörter „Empfänger darf 
die übermittelten Daten“ durch die Wörter 
„Dritte, an den die Daten übermittelt werden, 
darf diese“ ersetzt. 

bb) ln Satz 2 werden die Wörter „den Empfänger“ 
durch das Wort „ihn“ ersetzt. 

21. § 1 7 wird aufgehoben. 

22. § 18 wird wie folgt geändert: 

a) Absatz 2 wird wie folgt gefasst: 

„Die öffentlichen Stellen führen ein Verzeichnis 
der eingesetzten Datenverarbeitungsanlagen. Für 
ihre automatisierten Verarbeitungen haben sie die 
Angaben nach § 4e sowie die Rechtsgrundlage der 
Verarbeitung schriftlich festzulegen. Bei allgemei- 
nen Verwaltungszwecken dienenden automatisier- 
ten Verarbeitungen, bei welchen das Auskunfts- 
recht des Betroffenen nicht nach § 19 Abs. 3 oder 4 
eingeschränkt wird, kann hiervon abgesehen wer- 
den. Für automatisierte Verarbeitungen, die in glei- 
cher oder ähnlicher Weise mehrfach geführt wer- 
den, können die Festlegungen zusammengefasst 
werden.“ 

b) Absatz 3 wird aufgehoben. 

23. § 19 wird wie folgt geändert: 

a) Absatz 1 wird wie folgt geändert: 

aa) ln Satz 1 werden in Nummer 1 die Wörter 
„oder Empfänger“ und das Wort „und“ gestri- 
chen sowie vor das Wort „Herkunft“ das Wort 
„die“ eingefügt und nach Nummer 1 folgende 
Nummer 2 eingefügt: 

„2. die Empfänger oder Kategorien von Emp- 
fängern, an die die Daten weitergegeben 
werden, und“ 

bb) Der bisherige Satz 1 Nr. 2 wird Satz 1 Nr. 3. 

cc) ln Satz 3 werden die Wörter „in Akten“ durch 
die Wörter „weder automatisiert noch in nicht 
automatisierten Dateien“ ersetzt. 

dd) ln Satz 4 wird das Wort „speichernde“ durch 
das Wort „verantwortliche“ ersetzt. 


b) Dem Absatz 2 wird folgender Halbsatz angefügt: 

„und eine Auskunftserteilung einen unverhältnis- 
mäßigen Aufwand erfordern würde“ 

c) ln Absatz 3 wird das Wort „Bundesministers“ durch 
das Wort „Bundesministeriums“ ersetzt. 

d) ln Absatz 4 Nr. 1 und in Absatz 6 Satz 2 werden je- 
weils das Wort „speichernden“ durch das Wort 
„verantwortlichen“ ersetzt. 

24. Nach § 19 wird folgender § 19a eingefügt: 

„§ 19a 

Benachrichtigung 

(1) Werden Daten ohne Kenntnis des Betroffenen er- 
hoben, so ist er von der Speicherung, der Identität der 
verantwortlichen Stelle sowie über die Zweckbestim- 
mungen der Erhebung, Verarbeitung oder Nutzung zu 
unterrichten. Der Betroffene ist auch über die Empfän- 
ger oder Kategorien von Empfängern von Daten zu un- 
terrichten, soweit er nicht mit der Übermittlung an 
diese rechnen muss. Sofern eine Übermittlung vorge- 
sehen ist, hat die Unterrichtung spätestens bei der ers- 
ten Übermittlung zu erfolgen. 

(2) Eine Pflicht zur Benachrichtigung besteht nicht, 
wenn 

1 . der Betroffene auf andere Weise Kenntnis von der 
Speicherung oder der Übermittlung erlangt hat, 

2. die Unterrichtung des Betroffenen einen unverhält- 
nismäßigen Aufwand erfordert oder 

3. die Speicherung oder Übermittlung der personenbe- 
zogenen Daten durch Gesetz ausdrücklich vorgese- 
hen ist. 

Die verantwortliche Stehe legt schriftlich fest, unter 
welchen Voraussetzungen von einer Benachrichtigung 
nach Nummer 2 oder 3 abgesehen wird. 

(3) § 19 Abs. 2 bis 4 gilt entsprechend.“ 

25. § 20 wird wie folgt geändert: 

a) ln der Überschrift wird ein Semikolon und das Wort 
„Widerspruchsrecht“ angefügt. 

b) ln Absatz 1 Satz 2 werden die Wörter „in Akten“ 
durch die Wörter „die weder automatisiert verarbei- 
tet noch in nicht automatisierten Dateien gespei- 
chert sind,“ und die Wörter „der Akte zu vermerken 
oder auf sonstige“ durch das Wort „geeigneter“ er- 
setzt sowie vor die Wörter „die weder automatisiert 
verarbeitet noch in nicht automatisierten Dateien 
gespeichert sind,“ ein Komma gesetzt. 

c) Absatz 2 wird wie folgt geändert: 

aa) Die Wörter „in Dateien“ werden durch die 
Wörter „die automatisiert verarbeitet oder in 
nicht automatisierten Dateien gespeichert sind,“ 
ersetzt sowie vor die Wörter „die automatisiert 
verarbeitet oder in nicht automatisierten Da- 
teien gespeichert sind,“ ein Komma gesetzt. 

bb) ln Nummer 2 wird das Wort „speichernde“ 
durch das Wort „verantwortliche“ ersetzt. 
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d) ln Absatz 4 werden die Wörter „in Dateien“ durch 
die Wörter „die automatisiert verarbeitet oder in 
nicht automatisierten Dateien gespeichert sind,“ er- 
setzt sowie vor die Wörter „die automatisiert verar- 
beitet oder in nicht automatisierten Dateien gespei- 
chert sind,“ ein Komma gesetzt. 

e) Nach Absatz 4 wird folgender Absatz 5 eingefugt: 

„(5) Personenbezogene Daten dürfen nicht für 
eine automatisierte Verarbeitung oder Verarbeitung 
in nicht automatisierten Dateien erhoben, verarbei- 
tet oder genutzt werden, soweit der Betroffene die- 
ser bei der verantwortlichen Stelle widerspricht und 
eine Prüfung ergibt, dass das schutzwürdige Inte- 
resse des Betroffenen wegen seiner besonderen per- 
sönlichen Situation das Interesse der verantwortli- 
chen Stelle an dieser Erhebung, Verarbeitung oder 
Nutzung überwiegt. Satz 1 gilt nicht, wenn eine 
Rechtsvorschrift zur Erhebung, Verarbeitung oder 
Nutzung verpflichtet.“ 

f) Die bisherigen Absätze 5 bis 8 werden die Absätze 
6 bis 9. 

g) ln Absatz 6 werden die Wörter „in Akten“ durch 
die Wörter „die weder automatisiert verarbeitet 
noch in einer nicht automatisierten Datei gespei- 
chert sind,“ ersetzt sowie vor die Wörter „die weder 
automatisiert verarbeitet noch in einer nicht auto- 
matisierten Datei gespeichert sind,“ ein Komma ge- 
setzt. 

h) ln Absatz 7 Nr. 1 wird das Wort „speichernden“ 
durch das Wort „verantwortlichen“ ersetzt. 

i) Absatz 8 wird wie folgt geändert: 

aa) Das Wort „regelmäßigen“ wird gestrichen. 

bb) Die Wörter „werden, wenn dies zur Wahrung 
schutzwürdiger Interessen des Betroffenen er- 
forderlich ist“ werden durch die Wörter „wur- 
den, wenn dies keinen unverhältnismäßigen 
Aufwand erfordert und schutzwürdige Interes- 
sen des Betroffenen nicht entgegenstehen“ er- 
setzt. 

26. § 22 wird wie folgt geändert: 

a) ln Absatz 2 wird das Wort „Beauftragte“ durch das 
Wort „Bundesbeauftragte“ ersetzt. 

b) ln Absatz 5 Satz 1 wird das Wort „Bundesminister“ 
durch das Wort „Bundesministerium“ und in den 
Sätzen 2 und 3 wird das Wort „Bundesministers“ 
durch das Wort „Bundesministeriums“ ersetzt. 

27. § 23 wird wie folgt geändert: 

a) ln Absatz 3 Satz 1 und Satz 2 wird das Wort „Bun- 
desminister“ durch das Wort „Bundesministerium“ 
und in Absatz 5 Satz 3 wird das Wort „Bundesmi- 
nisters“ durch das Wort „Bundesministeriums“ er- 
setzt. 

b) Dem Absatz 5 werden die folgenden Sätze ange- 
fügt: 


„Für den Bundesbeauftragten und seine Mitarbeiter 
gelten die §§ 93, 97, 105 Abs. 1, 111 Abs. 5 in Ver- 
bindung mit 105 Abs. 1 sowie 116 Abs. 1 der Ab- 
gabenordnung nicht. Satz 5 findet keine Anwen- 
dung, soweit die Finanzbehörden die Kenntnis für 
die Durchführung eines Verfahrens wegen einer 
Steuerstraftat sowie eines damit zusammenhängen- 
den Steuerverfahrens benötigen, an deren Verfol- 
gung ein zwingendes öffentliches Interesse besteht, 
oder soweit es sich um vorsätzlich falsche Angaben 
des Auskunftspflichtigen oder der für ihn tätigen 
Personen handelt. Stellt der Bundesbeauftragte 
einen Datenschutzverstoß fest, ist er befugt, diesen 
anzuzeigen und den Betroffenen hierüber zu infor- 
mieren.“ 

c) Nach Absatz 7 wird folgender Absatz 8 angefügt: 

„(8) Absatz 5 Satz 5 bis 7 gilt entsprechend für 
die öffentlichen Stellen, die für die Kontrolle der 
Einhaltung der Vorschriften über den Datenschutz 
in den Ländern zuständig sind.“ 

28. § 24 wird wie folgt geändert: 

a) Absatz 1 Satz 2 wird gestrichen. 

b) Die Absätze 2 und 3 werden wie folgt gefasst: 

„(2) Die Kontrolle des Bundesbeauftragten er- 
streckt sich auch auf 

1. von öffentlichen Stellen des Bundes erlangte 
personenbezogene Daten über den Inhalt und 
die näheren Umstände des Brief-, Post- und 
Femmeldeverkehrs, und 

2. personenbezogene Daten, die einem Berufs- 
oder besonderen Amtsgeheimnis, insbesondere 
dem Steuergeheimnis nach § 30 der Abgaben- 
ordnung, unterliegen. 

Das Grundrecht des Brief-, Post- und Femmeldege- 
heimnisses des Artikels 1 0 des Grundgesetzes wird 
insoweit eingeschränkt. Personenbezogene Daten, 
die der Kontrolle durch die Kommission nach § 9 
des Gesetzes zu Artikel 10 Grundgesetz unterlie- 
gen, unterliegen nicht der Kontrolle durch den Bun- 
desbeauftragten, es sei denn, die Kommission er- 
sucht den Bundesbeauftragten, die Einhaltung der 
Vorschriften über den Datenschutz bei bestimmten 
Vorgängen oder in bestimmten Bereichen zu kon- 
trollieren und ausschließlich ihr darüber zu berich- 
ten. Der Kontrolle durch den Bundesbeauftragten 
unterliegen auch nicht personenbezogene Daten in 
Akten über die Sicherheitsüberprüfung, wenn der 
Betroffene der Kontrolle der auf ihn bezogenen Da- 
ten im Einzelfall gegenüber dem Bundesbeauftrag- 
fen widerspricht. 

(3) Bei den Bundesgerichten ist die unmittelbar 
der Rechtsprechung dienende Tätigkeit der Richter 
von der Kontrolle ausgenommen.“ 

c) In Absatz 4 Satz 2 Nr. 1 werden die Wörter „und 
Akten“ gestrichen. 

29. § 26 wird wie folgt geändert: 
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a) ln der Überschrift werden das Semikolon und das 
Wort „Dateienregister“ gestrichen. 

b) Absatz 1 Satz 2 wird wie folgt gefasst: 

„Er unterrichtet den Deutschen Bundestag und die 
Öffentlichkeit über wesentliche Entwicklungen des 
Datenschutzes.“ 

c) Dem Absatz 4 wird folgender Satz angefügt: 

„§ 38 Abs. 1 Satz 3 und 4 gilt entsprechend.“ 

d) Absatz 5 wird aufgehoben. 

30. § 27 wird wie folgt geändert: 

a) ln Absatz 1 Satz 1 werden die Wörter „in oder aus 
Dateien geschäftsmäßig oder für berufliche oder 
gewerbliche Zwecke verarbeitet oder genutzt“ 
durch die Wörter „unter Einsatz von Datenverarbei- 
tungsanlagen verarbeitet, genutzt oder dafür erho- 
ben werden oder die Daten in oder aus nicht auto- 
matisierten Dateien verarbeitet, genutzt oder dafür 
erhoben“ ersetzt. 

b) Nach Absatz 1 Satz 1 wird folgender Satz 2 einge- 
fügt: 

„Dies gilt nicht, wenn die Erhebung, Verarbeitung 
oder Nutzung der Daten ausschließlich für persönli- 
che oder familiäre Tätigkeiten erfolgt.“ 

b) ln Absatz 2 werden die Wörter „in Akten“ durch 
die Wörter „außerhalb von nicht automatisierten 
Dateien“ und das Wort „Datei“ durch die Wörter 
„automatisierten Verarbeitung“ ersetzt. 

31. § 28 wird wie folgt geändert: 

a) ln der Überschrift werden die Wörter „Datenspei- 
cherung, -Übermittlung“ durch die Wörter „Daten- 
erhebung, -Verarbeitung“ ersetzt. 

b) Absatz 1 Satz 1 wird wie folgt geändert: 

aa) Nach dem Wort „Das“ wird das Wort „Erhe- 
ben,“ eingefügt. 

bb) ln Nummer 1 werden die Wörter „im Rahmen“ 
durch die Wörter „wenn es“ ersetzt und nach 
dem Wort „Betroffenen“ wird das Wort „dient“ 
eingefügt. 

cc) ln Nummer 2 wird das Wort „speichernden“ 
durch das Wort „verantwortlichen“ ersetzt und 
nach dem Wort „überwiegt“ das Wort „oder“ 
angefügt. 

dd) ln Nummer 3 wird das Wort „speichernde“ 
durch das Wort „verantwortliche“ ersetzt und 
nach dem Wort „Nutzung“ werden die Wörter 
„gegenüber dem berechtigten Interesse der ver- 
antwortlichen Stelle“ eingefägt und das schlie- 
ßende Komma durch einen Punkt ersetzt. 

ee) Nummer 4 wird aufgehoben. 

c) Absatz 1 Satz 2 wird wie folgt gefasst: 

„Bei der Erhebung personenbezogener Daten sind 
die Zwecke, für die die Daten verarbeitet oder ge- 
nutzt werden sollen, konkret festzulegen.“ 


d) Nach Absatz 1 wird folgender Absatz 2 eingefügt: 

„(2) Für einen anderen Zweck dürfen sie nur un- 
ter den Voraussetzungen des Absatzes 1 Nr. 2 und 3 
übermittelt oder genutzt werden.“ 

e) Die bisherigen Absätze 2 bis 4 werden die Absätze 
3 bis 5. 

f) Absatz 3 wird wie folgt gefasst: 

„(3) Die Übermittlung oder Nutzung für einen 
anderen Zweck ist auch zulässig: 

1. soweit es zur Wahrung berechtigter Interessen 
eines Dritten oder 

2. zur Abwehr von Gefahren für die staatliche und 
öffentliche Sicherheit sowie zur Verfolgung von 
Straftaten erforderlich ist, oder 

3 . für Zwecke der Werbung, der Markt- und Mei- 
nungsforschung, wenn es sich um listenmäßig 
oder sonst zusammengefasste Daten über Ange- 
hörige einer Personengruppe handelt, die sich 
auf 

a) eine Angabe über die Zugehörigkeit des Be- 
troffenen zu dieser Personengruppe, 

b) Berufs-, Branchen- oder Geschäftsbezie- 
hung, 

c) Namen, 

d) Titel, 

e) akademische Grade, 

f) Anschrift und 

g) Geburtsjahr 
beschränken 

und kein Grund zu der Annahme besteht, dass der 
Betroffene ein schutzwürdiges Interesse an dem 
Ausschluss der Übermittlung oder Nutzung hat, 
oder 

4. wenn es im Interesse einer Forschungseinrich- 
tung zur Durchführung wissenschaftlicher For- 
schung erforderlich ist, das wissenschaftliche 
Interesse an der Durchführung des Forschungs- 
vorhabens das Interesse des Betroffenen an dem 
Ausschluss der Zweckänderung erheblich über- 
wiegt und der Zweck der Forschung auf andere 
Weise nicht oder nur mit unverhältnismäßigem 
Aufwand erreicht werden kann. 

In den Fällen des Satzes 1 Nr. 3 ist anzunehmen, 
dass dieses Interesse besteht, wenn im Rahmen der 
Zweckbestimmung eines Vertragsverhältnisses oder 
vertragsähnlichen Vertrauensverhältnisses gespei- 
cherte Daten übermittelt werden sollen, die sich 

1 . auf strafbare Handlungen, 

2. auf Ordnungswidrigkeiten sowie 

3. bei Übermittlung durch den Arbeitgeber auf ar- 
beitsrechtliche Rechtsverhältnisse 

beziehen.“ 
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h) Absatz 4 wird wie folgt geändert: 

aa) ln Satz 1 wird das Wort „speichernden“ durch 
das Wort „verantwortlichen“ ersetzt. 

bb) Nach Satz 1 wird folgender Satz eingefügt: 

„Der Betroffene ist bei der Ansprache zum Zwe- 
cke der Werbung oder der Markt- oder Mei- 
nungsforschung über die verantwortliche Stelle 
sowie über das Widerspruchsrecht nach Satz 1 
zu unterrichten.“ 

cc)ln dem neuen Satz 3 werden die Wörter „beim 
Empfänger der nach Absatz 2 übermittelten Da- 
ten“ durch die Wörter „bei dem Dritten, dem die 
Daten nach Absatz 3 übermittelt werden,“ er- 
setzt. 

i) Absatz 5 wird wie folgt geändert: 

aa) ln Satz 1 werden die Wörter „Empfänger darf 
die übermittelten Daten“ durch die Wörter 
„Dritte, dem die Daten übermittelt worden sind, 
darf diese nur“ ersetzt. 

bb) ln Satz 2 werden nach dem Wort „ist“ die Wör- 
ter „nicht öffentlichen Stellen“ eingefügt und 
die Wörter „1 und 2 zulässig“ durch die Wörter 
„2 und 3 und öffentlichen Stellen nur unter den 
Voraussetzungen des § 14 Abs. 2 erlaubt“ er- 
setzt. 

cc) ln Satz 3 werden die Wörter „den Empfänger“ 
durch das Wort „ihn“ ersetzt. 

j) Nach Absatz 5 werden die folgenden Absätze 6 
bis 9 angefügt: 

„(6) Das Erheben, Verarbeiten und Nutzen von 
besonderen Arten personenbezogener Daten (§ 3 
Abs. 9) für eigene Geschäftszwecke ist zulässig, so- 
weit nicht der Betroffene nach Maßgabe des § 4a 
Abs. 3 eingewilligt hat, wenn 

1 . dies zum Schutz lebenswichtiger Interessen des 
Betroffenen oder eines Dritten erforderlich ist, 
sofern der Betroffene aus physischen oder recht- 
lichen Gründen außerstande ist, seine Einwilli- 
gung zu geben, 

2. es sich um Daten handelt, die der Betroffene of- 
fenkundig öffentlich gemacht hat, 

3. dies zur Geltendmachung, Ausübung oder Ver- 
teidigung rechtlicher Ansprüche erforderlich ist 
und kein Grund zu der Annahme besteht, dass 
das schutzwürdige Interesse des Betroffenen an 
dem Ausschluss der Erhebung, Verarbeitung 
oder Nutzung überwiegt, oder 

4. dies zur Durchführung wissenschaftlicher For- 
schung erforderlich ist, das wissenschaftliche 
Interesse an der Durchführung des Forschungs- 
vorhabens das Interesse des Betroffenen an dem 
Ausschluss der Erhebung, Verarbeitung und 
Nutzung erheblich überwiegt und der Zweck der 
Forschung auf andere Weise nicht oder nur mit 
unverhältnismäßigem Aufwand erreicht werden 
kann. 


(7) Das Erheben von besonderen Arten personen- 
bezogener Daten (§ 3 Abs. 9) ist ferner zulässig, 
wenn dies zum Zwecke der Gesundheitsvorsorge, 
der medizinischen Diagnostik, der Gesundheitsver- 
sorgung oder Behandlung oder für die Verwaltung 
von Gesundheitsdiensten erforderlich ist und die 
Verarbeitung dieser Daten durch ärztliches Personal 
oder durch sonstige Personen erfolgt, die einer ent- 
sprechenden Geheimhaltungspflicht unterliegen. 
Die Verarbeitung und Nutzung von Daten zu den in 
Satz 1 genannten Zwecken richtet sich nach den für 
die in Satz 1 genannten Personen geltenden Ge- 
heimhaltungspflichten. Werden zu einem in Satz 1 
genannten Zweck Daten über die Gesundheit von 
Personen durch Angehörige eines anderen als in 
§ 203 Abs. 1 und 3 des Strafgesetzbuches genann- 
ten Berufes, dessen Ausübung die Feststellung, 
Fleilung oder Linderung von Krankheiten oder die 
Flerstellung oder den Vertrieb von Fhlfsmitteln mit 
sich bringt, erhoben, verarbeitet oder genutzt, ist 
dies nur unter den Voraussetzungen zulässig, unter 
denen ein Arzt selbst hierzu befugt wäre. 

(8) Für einen anderen Zweck dürfen die besonde- 
ren Arten personenbezogener Daten (§3 Abs. 9) 
nur unter den Voraussetzungen des Absatzes 6 Nr. 1 
bis 4 oder Absatz 7 Satz 1 übermittelt oder genutzt 
werden. Eine Übermittlung oder Nutzung ist auch 
zulässig, wenn dies zur Abwehr von erheblichen 
Gefahren für die staatliche und öffentliche Sicher- 
heit sowie zur Verfolgung von Straftaten von erheb- 
licher Bedeutung erforderlich ist. 

(9) Organisationen, die politisch, philosophisch, 
religiös oder gewerkschaftlich ausgerichtet sind 
und keinen Erwerbszweck verfolgen, dürfen beson- 
dere Arten personenbezogener Daten (§ 3 Abs. 9) 
erheben, verarbeiten oder nutzen, soweit dies für 
die Tätigkeit der Organisation erforderlich ist. Dies 
gilt nur für personenbezogene Daten ihrer Mitglie- 
der oder von Personen, die im Zusammenhang mit 
deren Tätigkeitszweck regelmäßig Kontakte mit ihr 
unterhalten. Die Übermittlung dieser personenbe- 
zogenen Daten an Personen oder Stellen außerhalb 
der Organisation ist nur unter den Voraussetzungen 
des § 4a Abs. 3 zulässig. Absatz 3 Nr. 2 gilt ent- 
sprechend.“ 

32. § 29 wird wie folgt geändert: 

a) In der Überschrift wird das Wort „Datenspeiche- 
rung“ durch die Wörter „Datenerhebung und -Spei- 
cherung“ ersetzt. 

b) Absatz 1 Satz 1 wird wie folgt geändert: 

aa) Nach dem Wort „geschäftsmäßige“ wird das 
Wort „Erheben,“ und nach dem Wort „Über- 
mittlung“ werden ein Komma und die Wörter 
„insbesondere wenn dies der Werbung, der Tä- 
tigkeit von Auskunfteien, dem Adresshandel 
oder der Markt- und Meinungsforschung 
dient,“ eingefügt. 
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bb) ln Nummer 1 wird vor dem Wort „Speiche- 
rung“ das Wort „Erhebung,“ eingefugt. 

ec) ln Nummer 2 wird das Wort „speichernde“ 
durch das Wort „verantwortliche“ ersetzt sowie 
vor dem Wort „Speicherung“ das Wort „Erhe- 
bung,“ eingefügt. 

c) Absatz 2 wird wie folgt geändert: 

aa) ln Satz 1 werden im ersten Halbsatz nach dem 
Wort „Übermittlung“ die Wörter „im Rahmen 
der Zwecke nach Absatz 1“ eingefügt. 

bb) ln Satz 1 Nummer 1 Buchstabe a wird das Wort 
„Empfänger“ durch die Worte „Dritte, dem die 
Daten übermittelt werden,“ ersetzt. 

cc) ln Satz 1 Nr. 1 Buchstabe b wird die Angabe 
„Abs. 2 Nr. 1 Buchstabe b“ durch die Angabe 
„Abs. 3 Nr. 3“ ersetzt. 

dd) ln Satz 2 wird die Angabe „Abs. 2 Nr. 1“ durch 
die Angabe „Abs. 3“ ersetzt. 

ee) ln Satz 3 wird das Wort „Empfänger“ durch die 
Worte „Dritten, dem die Daten übermittelt wer- 
den“ ersetzt. 

d) Nach Absatz 2 wird folgender Absatz 3 eingefügt: 

„(3) Die Aufnahme personenbezogener Daten in 
elektronische oder gedruckte Adress-, Telefon-, 
Branchen- oder vergleichbare Verzeichnisse hat zu 
unterbleiben, wenn der entgegenstehende Wille des 
Betroffenen aus dem zugrunde liegenden elektroni- 
schen oder gedruckten Verzeichnis oder Register 
ersichtlich ist. Der Empfänger der Daten hat sicher- 
zustellen, dass Kennzeichnungen aus elektroni- 
schen oder gedruckten Verzeichnissen oder Regis- 
tern bei der Übernahme in Verzeichnisse oder 
Register übernommen werden.“ 

e) Der bisherige Absatz 3 wird Absatz 4. 

f) ln Absatz 4 wird die Angabe „3 und 4“ durch die 
Angabe „4 und 5“ ersetzt. 

g) Nach Absatz 4 wird folgender Absatz 5 angefügt: 

„(5) § 28 Abs. 6 bis 9 gelten entsprechend.“ 

33. § 30 wird wie folgt geändert: 

a) ln der Überschrift wird das Wort „Datenspeiche- 
rung“ durch die Wörter „Datenerhebung und -Spei- 
cherung“ ersetzt. 

b) ln Absatz 1 Satz 1 werden nach dem Wort „ge- 
schäftsmäßig“ die Wörter „erhoben und“ eingefügt. 

c) Absatz 2 Nr. 2 wird wie folgt geändert: 

aa) Das Wort „speichernde“ wird durch das Wort 
„verantwortliche“ ersetzt. 

bb) Die Wörter „es sei denn, daß“ werden durch die 
Wörter „soweit nicht“ ersetzt. 

d) Absatz 4 wird wie folgt gefasst: 

„§ 29 gilt nicht.“ 

e) Nach Absatz 4 wird folgender Absatz 5 angefügt: 


„(5) § 28 Abs. 6 bis 9 gelten entsprechend.“ 

34. § 32 wird aufgehoben. 

35. § 33 wird wie folgt geändert: 

a) Absatz 1 wird wie folgt geändert: 

aa) Satz 1 wird wie folgt gefasst: 

„Werden erstmals personenbezogene Daten für 
eigene Zwecke ohne Kenntnis des Betroffenen 
gespeichert, ist der Betroffene von der Speiche- 
rung, der Art der Daten, der Zweckbestimmung 
der Erhebung, Verarbeitung oder Nutzung und 
der Identität der verantwortlichen Stelle zu be- 
nachrichtigen.“ 

bb) ln Satz 2 werden nach den Worten „der Über- 
mittlung“ die Worte „ohne Kenntnis des Betrof- 
fenen“ eingefügt. 

ec) Dem Absatz wird folgender Satz 3 angefügt: 

„Der Betroffene ist in den Fällen der Sätze 1 
und 2 auch über die Kategorien von Empfän- 
gern zu unterrichten, soweit er nach den Um- 
ständen des Einzelfalles nicht mit der Übermitt- 
lung an diese rechnen muss.“ 

b) Absatz 2 wird wie folgt geändert: 

aa) ln Nummer 2 werden nach dem Wort „dienen“ 
die Worte „und eine Benachrichtigung einen 
unverhältnismäßigen Aufwand erfordern 
würde“ eingefügt. 

bb) Nach Nummer 3 werden folgende Nummern 4 
und 5 eingefügt: 

„4. die Speicherung oder Übermittlung durch 
Gesetz ausdrücklich vorgesehen ist, 

5. die Speicherung oder Übermittlung für 
Zwecke der wissenschaftlichen Forschung 
erforderlich ist und eine Benachrichtigung 
einen unverhältnismäßigen Aufwand erfor- 
dern würde,“ 

ec) Die bisherige Nummer 4 wird die Nummer 6. 

dd) Die bisherige Nummer 5 wird aufgehoben. 

ee) Die bisherigen Nummern 6 und 7 werden die 
Nummern 7 und 8. 

ff) ln Nummer 6 wird das Wort „speichernden“ 
durch das Wort „verantwortlichen“ ersetzt. 

gg) ln Nummer 7 Buchstabe a werden nach dem 
Wort „sind“ die Wörter „und eine Benachrichti- 
gung wegen der Vielzahl der betroffenen Fälle 
unverhältnismäßig ist,“ eingefügt. 

hh) ln Nummer 7 Buchstabe b wird das Wort „spei- 
chernden“ durch das Wort „verantwortlichen“ 
ersetzt. 

ii) Nummer 8 wird wie folgt gefasst: 

„8. die Daten geschäftsmäßig zum Zwecke der 
Übermittlung gespeichert sind und 
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a) aus allgemein zugänglichen Quellen ent- 
nommen sind, soweit sie sich auf diejeni- 
gen Personen beziehen, die diese Daten 
veröffentlicht haben, oder 

b) es sich um listenmäßig oder sonst zusam- 
mengefasste Daten handelt (§ 29 Abs. 2 
Nr. 1 Buchstabe b) 

und eine Benachrichtigung wegen der Viel- 
zahl der betroffenen Fälle unverhältnismä- 
ßig ist.“ 

jj) Dem Absatz wird folgender Satz 2 angefügt: 

„Die verantwortliche Stelle legt schriftlich fest, 
unter welchen Voraussetzungen von einer Be- 
nachrichtigung nach Absatz 2 Nr. 2 bis 7 abge- 
sehen wird.“ 

36. § 34 wird wie folgt geändert: 

a) Absatz 1 wird wie folgt geändert: 

aa) ln Satz 1 Nr. 1 werden die Wörter „Herkunft 
und Empfänger“ durch die Wörter „die Her- 
kunft dieser Daten“ ersetzt 

bb) Nach Satz 1 Nr. 1 wird folgende Nummer 2 ein- 
gefügt: 

„2. Empfänger oder Kategorien von Empfän- 
gern, an die Daten weitergegeben werden, 
und“ 

cc) Der bisherige Satz 1 Nr. 2 wird Satz 1 Nr. 3. 

dd) Der bisherige Satz 1 Nr. 3 wird aufgehoben. 

ee) ln Satz 1 Nr. 3 wird das Wort „und“ durch einen 
Punkt ersetzt. 

ff) ln Satz 3 werden die Wörter „wenn er begrün- 
dete Zweifel an der Richtigkeit der Daten gel- 
tend macht“ durch die Wörter „sofern nicht das 
Interesse an der Wahrung des Geschäftsgeheim- 
nisses überwiegt“ ersetzt. 

b) Absatz 2 wird wie folgt geändert: 

aa) ln Satz 1 werden die Worte „nicht in einer“ 
durch die Worte „weder in einer automatisierten 
Verarbeitung noch in einer nicht automatisier- 
ten“ ersetzt, ln Satz 2 werden die Wörter „wenn 
er begründete Zweifel an der Richtigkeit der 
Daten geltend macht“ durch die Wörter „sofern 
nicht das Interesse an der Wahrung des Ge- 
schäftsgeheimnisses überwiegt“ ersetzt. 

bb) Satz 3 wird aufgehoben. 

c) ln Absatz 4 wird die Angabe „Nr. 2 bis 6“ durch die 

Angabe „Nr. 3 und 6“ ersetzt. 

37. § 35 wird wie folgt geändert: 

a) Absatz 2 Satz 2 wird wie folgt geändert: 

aa) Nummer 2 wird wie folgt gefasst: 

„2. es sich um Daten über die rassische oder 
ethnische Herkunft, politische Meinungen, 
religiöse oder philosophische Überzeugun- 
gen oder die Gewerkschaftszugehörigkeit, 


über Gesundheit oder das Sexualleben, 
strafbare Handlungen oder Ordnungswid- 
rigkeiten handelt und ihre Richtigkeit von 
der verantwortlichen Stelle nicht bewiesen 
werden kann,“ 

bb) Nummer 4 wird wie folgt gefasst: 

„4. sie geschäftsmäßig zum Zwecke der Über- 
mittlung verarbeitet werden und eine Prü- 
fung jeweils am Ende des vierten Kalender- 
jahres beginnend mit ihrer erstmaligen 
Speicherung ergibt, dass eine längerwäh- 
rende Speicherung nicht erforderlich ist.“ 

b) ln Absatz 3 Nr. 1 wird die Angabe „oder 4“ gestri- 
chen. 

c) Nach Absatz 4 wird folgender Absatz 5 eingefügt: 

„(5) Personenbezogene Daten dürfen nicht für 
eine automatisierte Verarbeitung oder Verarbeitung 
in nicht automatisierten Dateien erhoben, verarbei- 
tet oder genutzt werden, soweit der Betroffene die- 
ser bei der verantwortlichen Stelle widerspricht und 
eine Prüfung ergibt, dass das schutzwürdige Inte- 
resse des Betroffenen wegen seiner besonderen per- 
sönlichen Situation das Interesse der verantwortli- 
chen Stelle an dieser Erhebung, Verarbeitung oder 
Nutzung überwiegt. Satz 1 gilt nicht, wenn eine 
Rechtsvorschrift zur Erhebung, Verarbeitung oder 
Nutzung verpflichtet.“ 

d) Die bisherigen Absätze 5 bis 7 werden die Absätze 
6 bis 8. 

e) Absatz 7 wird wie folgt geändert: 

aa) Das Wort „regelmäßigen“ wird gestrichen. 

bb) Die Wörter „zur Wahrung der schutzwürdigen 
Interessen des Betroffenen erforderlich ist“ 
werden durch die Wörter „keinen unverhältnis- 
mäßigen Aufwand erfordert und schutzwürdige 
Interessen des Betroffenen nicht entgegenste- 
hen“ ersetzt. 

f) ln Absatz 8 Nr. 1 wird das Wort „speichernden“ 
durch das Wort „verantwortlichen“ ersetzt. 

38. ln der Überschrift des Dritten Unterabschnitts zum 

Dritten Abschnitt werden die Wörter „Beauftragter für 

den Datenschutz,“ gestrichen. 

39. § 36 wird aufgehoben. 

40. § 37 wird aufgehoben. 

41 . § 38 wird wie folgt geändert: 

a) Absatz 1 wird wie folgt gefasst: 

„(1) Die Aufsichtsbehörde kontrolliert die Aus- 
führung dieses Gesetzes sowie anderer Vorschriften 
über den Datenschutz, soweit diese die automati- 
sierte Verarbeitung personenbezogener Daten oder 
die Verarbeitung oder Nutzung personenbezogener 
Daten in oder aus nicht automatisierten Dateien re- 
geln einschließlich des Rechts der Mitgliedstaaten 
in den Fällen des § 1 Abs. 5. Die Aufsichtsbehörde 
darf die von ihr gespeicherten Daten nur für Zwe- 
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cke der Aufsicht verarbeiten und nutzen; § 14 
Abs. 2 Nm. 1 bis 3, 6 und 7 gilt entsprechend. Ins- 
besondere darf die Aufsichtsbehörde zum Zweck 
der Aufsicht Daten an andere Aufsichtsbehörden 
übermitteln. Sie leistet den Aufsichtsbehörden an- 
derer Mitgliedstaaten der Europäischen Union auf 
Ersuchen ergänzende Hilfe (Amtshilfe). Stellt die 
Aufsichtsbehörde einen Verstoß gegen dieses Ge- 
setz oder andere Vorschriften über den Datenschutz 
fest, so ist sie befugt, die Betroffenen hierüber zu 
unterrichten, den Verstoß bei den für die Verfol- 
gung oder Ahndung zuständigen Stellen anzuzeigen 
sowie bei schwerwiegenden Verstößen die Gewer- 
beaufsichtsbehörde zur Durchführung gewerbe- 
rechtlicher Maßnahmen zu unterrichten. Sie veröf- 
fentlicht regelmäßig, spätestens alle zwei Jahre, 
einen Tätigkeitsbericht. § 21 Satz 1 und § 23 Abs. 5 
Satz 4 bis 7 gilt entsprechend.“ 

b) Absatz 2 wird wie folgt geändert: 
aa) Satz 1 wird aufgehoben. 

bb) Der neue Satz 1 wird wie folgt gefasst: 

„Die Aufsichtsbehörde führt ein Register der 
nach § 4d meldepflichtigen automatisierten Ver- 
arbeitungen mit den Angaben nach § 4e Satz 1 .“ 

cc) Der bisherige Satz 3 wird Satz 2. 

dd) Nach Satz 2 wird folgender Satz 3 angefugt: 

„Das Einsichtsrecht erstreckt sich nicht auf die 
Angaben nach § 4e Satz 1 Nr. 9 sowie auf die 
Angabe der zugriffsberechtigten Personen.“ 

c) ln Absatz 4 Satz 2 wird die Angabe „§ 37 Abs. 2“ 
durch die Angabe „§ 4g Abs. 2 Satz 1“ ersetzt. 

d) ln Absatz 5 Satz 1 werden die Wörter „Verarbei- 
tung oder Nutzung“ durch die Wörter „automati- 
sierte Verarbeitung personenbezogener Daten oder 
die Verarbeitung“ ersetzt sowie vor dem Wort „Da- 
teien“ das Wort „nicht automatisierten“ eingefügt. 

42. Nach § 38 wird folgender § 38a eingefügt: 

„§ 38a 

Verhaltensregeln zur Förderung der Durchführung 
datenschutzrechtlicher Regelungen 

(1) Berufsverbände und andere Vereinigungen, die 
bestimmte Gruppen von verantwortlichen Stellen ver- 
treten, können Entwürfe für Verhaltensregeln zur För- 
derung der Durchführung von datenschutzrechtlichen 
Regelungen der zuständigen Aufsichtsbehörde unter- 
breiten. 

(2) Die Aufsichtsbehörde überprüft die Vereinbar- 
keit der ihr unterbreiteten Entwürfe mit dem geltenden 
Datenschutzrecht.“ 

43. ln § 39 Abs. 1 Satz 1 wird das Wort „speichernden“ 
durch das Wort „verantwortlichen“ ersetzt. 

44. § 40 wird wie folgt geändert: 

a) Absatz 2 wird aufgehoben. 


b) Die bisherigen Absätze 3 und 4 werden die Absätze 
2 und 3. 

45. § 41 wird wie folgt geändert: 

a) ln der Überschrift wird vor dem Wort „Verarbei- 
tung“ das Wort „Erhebung,“ eingefügt. 

b) Absatz 1 wird wie folgt gefasst: 

„(1) Die Länder haben in ihrer Gesetzgebung 
vorzusehen, dass für die Erhebung, Verarbeitung 
und Nutzung personenbezogener Daten von Unter- 
nehmen und Hilfsuntemehmen der Presse aus- 
schließlich zu eigenen journalistisch-redaktionel- 
len oder literarischen Zwecken den Vorschriften der 
§§ 5, 9 und 38a entsprechende Regelungen ein- 
schließlich einer hierauf bezogenen Haftungsrege- 
lung entsprechend § 7 zur Anwendung kommen.“ 

c) ln Absatz 2 wird vor dem Wort „Verarbeitung“ das 
Wort „Erhebung,“ eingefügt. 

d) Absatz 3 Satz 2 wird wie folgt gefasst: 

„Die Auskunft kann nach Abwägung der schutz- 
würdigen Interessen der Beteiligten verweigert 
werden, soweit 

1 . aus den Daten auf Personen, die bei der Vorbe- 
reitung, Herstellung oder Verbreitung von 
Rundfunksendungen berufsmäßig journalistisch 
mitwirken oder mitgewirkt haben, geschlossen 
werden kann, 

2. aus den Daten auf die Person des Einsenders 
oder des Gewährsträgers von Beiträgen, Unter- 
lagen und Mitteilungen für den redaktionellen 
Teil geschlossen werden kann, 

3. durch die Mitteilung der recherchierten oder 
sonst erlangten Daten die journalistische Auf- 
gabe der Deutschen Welle durch Ausforschung 
des Informationsbestandes beeinträchtigt würde. 

e) ln Absatz 4 Satz 1 wird die Angabe „§§ 5 und 9“ 
durch die Angabe „§§ 5, 7, 9 und 38a“ ersetzt. 

46. § 42 Abs. 5 Satz 2 wird wie folgt gefasst: 

„§§ 4f und 4g bleiben unberührt.“ 

47. § 43 wird wie folgt geändert: 

a) Absatz 1 wird wie folgt geändert: 

aa) Im ersten Halbsatz werden die Wörter „von die- 
sem Gesetz geschützte“ gestrichen. 

bb) Nummer 1 wird wie folgt gefasst: 

„1. erhebt oder verarbeitet,“. 

ec) ln Nummer 3 werden nach den Wörtern „ande- 
ren aus“ die Wörter „automatisierten Verarbei- 
tungen oder nicht automatisierten“ eingefügt. 

b) Absatz 2 wird wie folgt geändert: 

aa) ln Nummer 1 werden die Wörter „durch dieses 
Gesetz geschützten“ gestrichen. 

bb) ln Nummer 2 wird die Angabe „§ 28 Abs. 4 
Satz 1“ durch die Angabe „§ 28 Abs. 5 Satz 1“ 
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und die Angabe „§ 29 Abs. 3“ durch die An- 
gabe „§ 29 Abs. 4“ ersetzt. 

ec) ln Nummer 3 wird die Angabe „§ 40 Abs. 3 
Satz 3“ durch die Angabe „§ 40 Abs. 2 Satz 3“ 
und die Angabe „§ 40 Abs. 3 Satz 2“ durch die 
Angabe „§ 40 Abs. 2 Satz 2“ ersetzt. 

c) Dem Absatz 4 wird folgender Satz angefügt: 

„Antragsberechtigt sind der Betroffene, die verant- 
wortliche Stelle, der Bundesbeauftragte für den Da- 
tenschutz oder die Aufsichtsbehörde.“ 

48. § 44 Abs. 1 wird wie folgt geändert: 

a) Nummer 2 wird wie folgt geändert: 

aa) Die Angabe „§ 32 Abs. 1“ wird durch die An- 
gabe „§ 4d Abs. 1 und 4“ ersetzt. 

bb) Die Angabe „§ 32 Abs. 2“ wird durch die An- 
gabe „§ 4e Satz 1“ ersetzt. 

cc) Die beiden Angaben „Absatz 4“ werden jeweils 
durch die Angabe „§ 4e Satz 2“ ersetzt. 

b) ln Nummer 4 wird die Angabe „Abs. 5“ durch die 
Angabe „Abs. 6“ ersetzt. 

c) ln Nummer 5 wird die Angabe „§ 36“ durch die 
Angabe „§ 4f ‘ ersetzt. 

49. Nach § 44 wird folgende Überschrift eingefügt: 

„Sechster Abschnitt 
Übergangsvorschriften“ 

50. Nach der Überschrift „Sechster Abschnitt Übergangs- 
vorschriften“ werden folgende §§45 und 46 eingefügt: 

„§ 45 

Laufende Verwendungen 

Erhebungen, Verarbeitungen oder Nutzungen perso- 
nenbezogener Daten, die zum Zeitpunkt des Inkrafttre- 
tens dieses Gesetzes bereits begonnen haben, sind bin- 
nen drei Jahren nach diesem Zeitpunkt mit den Vor- 
schriften dieses Gesetzes in Übereinstimmung zu 
bringen. Soweit Vorschriften dieses Gesetzes in Rechts- 
vorschriften außerhalb des Anwendungsbereichs der in 
§ 4b Abs. 1 genannten Richtlinie zur Anwendung ge- 
langen, sind Erhebungen, Verarbeitungen oder Nutzun- 
gen personenbezogener Daten, die zum Zeitpunkt des 
Inkrafttretens dieses Gesetzes bereits begonnen haben, 
binnen fünf Jahren nach diesem Zeitpunkt mit den Vor- 
schriften dieses Gesetzes in Übereinstimmung zu brin- 
gen. 

§ 46 

Weitergeltung von Begriffsbestimmungen 

(1) Wird in besonderen Rechtsvorschriften des Bun- 
des der Begriff Datei verwendet, ist Datei 

1. eine Sammlung personenbezogener Daten, die 
durch automatisierte Verfahren nach bestimmten 
Merkmalen ausgewertet werden kann (automati- 
sierte Datei), oder 

2. jede sonstige Sammlung personenbezogener Daten, 
die gleichartig aufgebaut ist und nach bestimmten 


Merkmalen geordnet, umgeordnet und ausgewertet 
werden kann (nicht automatisierte Datei). 

Nicht hierzu gehören Akten und Aktensammlungen, es 
sei denn, dass sie durch automatisierte Verfahren um- 
geordnet und ausgewertet werden können. 

(2) Wird in besonderen Rechtsvorschriften des Bun- 
des der Begriff Akte verwendet, ist Akte jede amtli- 
chen oder dienstlichen Zwecken dienende Unterlage, 
die nicht dem Dateibegriff des Absatzes 1 unterfallt; 
dazu zählen auch Bild- und Tonträger. Nicht hierunter 
fallen Vorentwürfe und Notizen, die nicht Bestandteil 
eines Vorgangs werden sollen. 

(3) Wird in besonderen Rechtsvorschriften des Bun- 
des der Begriff Empfänger verwendet, ist Empfänger 
jede Person oder Stelle außerhalb der verantwortlichen 
Stelle. Empfänger sind nicht der Betroffene sowie die- 
jenigen Personen und Stellen, die im Inland oder im 
Geltungsbereich der Rechtsvorschriften zum Schutz 
personenbezogener Daten der Mitgliedstaaten der Eu- 
ropäischen Union personenbezogene Daten im Auftrag 
erheben, verarbeiten oder nutzen.“ 

5 1 . Die Anlage zu § 9 Satz 1 wird wie folgt gefasst: 

„Anlage 
(zu § 9 Satz 1) 

Werden personenbezogene Daten automatisiert ver- 
arbeitet oder genutzt, ist die innerbehördliche oder 
innerbetriebliche Organisation so zu gestalten, dass 
sie den besonderen Anforderungen des Datenschutzes 
gerecht wird. Dabei sind insbesondere Maßnahmen zu 
treffen, die je nach der Art der zu schützenden perso- 
nenbezogenen Daten oder Datenkategorien geeignet 
sind, 

1 . Unbefugten den Zutritt zu Datenverarbeitungsanla- 
gen, mit denen personenbezogene Daten verarbeitet 
oder genutzt werden, zu verwehren (Zutrittskon- 
trolle), 

2. zu verhindern, dass Datenverarbeitungssysteme 
von Unbefugten genutzt werden können (Zugangs- 
kontrolle), 

3. zu gewährleisten, dass die zur Benutzung eines Da- 
tenverarbeitungssystems Berechtigten ausschließ- 
lich auf die ihrer Zugriffsberechtigung unterliegen- 
den Daten zugreifen können, und dass personenbe- 
zogene Daten bei der Verarbeitung, Nutzung und 
nach der Speicherung nicht unbefugt gelesen, ko- 
piert, verändert oder entfernt werden können (Zu- 
griffskontrolle), 

4. zu gewährleisten, dass personenbezogene Daten bei 
der elektronischen Übertragung oder während ihres 
Transports oder ihrer Speicherung auf Datenträger 
nicht unbefugt gelesen, kopiert, verändert oder ent- 
fernt werden können, und dass überprüft und fest- 
gestellt werden kann, an welche Stellen eine Über- 
mittlung personenbezogener Daten durch Einrich- 
tungen zur Datenübertragung vorgesehen ist (Wei- 
tergabekontrolle), 
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5. zu gewährleisten, dass nachträglich überprüft und 
festgestellt werden kann, ob und von wem perso- 
nenbezogene Daten in Datenverarbeitungssysteme 
eingegeben, verändert oder entfernt worden sind 
(Eingabekontrolle), 

6. zu gewährleisten, dass personenbezogene Daten, 
die im Auftrag verarbeitet werden, nur entspre- 
chend den Weisungen des Auftraggebers verarbei- 
tet werden können (Auftragskontrolle), 

7. zu gewährleisten, dass personenbezogene Daten ge- 
gen zufällige Zerstörung oder Verlust geschützt 
sind (Verfügbarkeitskontrolle), 

8. zu gewährleisten, dass zu unterschiedlichen Zwe- 
cken erhobene Daten getrennt verarbeitet werden 
können.“ 


Artikel 2 

Änderung des Bundesverfassungssehutzgesetzes 

§ 27 des Bundesverfassungsschutzgesetzes vom 20. De- 
zember 1990 (BGBl. 1 S. 2970), geändert durch § 38 Abs. 2 
des Gesetzes vom 20. April 1994 (BGBl. 1 S. 867, 876), 
wird wie folgt gefasst: 

„Bei der Erfüllung der Aufgaben nach § 3 durch das Bundes- 
amt für Verfassungsschutz finden § 3 Abs. 2 und 8 Satz 1, 
§ 4 Abs. 2 bis 4, §§ 4b und 4c sowie §§ 10 und 13 bis 20 des 
Bundesdatenschutzgesetzes keine Anwendung.“ 


Artikel 3 

Änderung des MAD-Gesetzes 

§ 13 des MAD-Gesetzes vom 20. Dezember 1990 
(BGBl. I S. 2977), geändert durch § 38 Abs. 3 des Gesetzes 
vom 20. April 1994 (BGBl. I S. 867, 876), wird wie folgt 
gefasst: 

„Bei der Erfüllung der Aufgaben nach § 1 Abs. 1 bis 3 und 
§ 2 finden § 3 Abs. 2 und 8 Satz 1, § 4 Abs. 2 bis 4, §§ 4b 
und 4c sowie §§10 und 13 bis 20 des Bundesdatenschutz- 
gesetzes keine Anwendung.“ 


Artikel 4 

Änderung des BND-Gesetzes 

§ 11 des BND-Gesetzes vom 20. Dezember 1990 (BGBl. 
I S. 2954), geändert durch § 38 Abs. 5 des Gesetzes vom 
20. April 1994 (BGBl. I S. 867, 877), wird wie folgt gefasst: 

„Bei der Erfüllung der Aufgaben des Bundesnachrichten- 
diensles finden § 3 Abs. 2 und 8 Satz 1, § 4 Abs. 2 bis 4, 
§§ 4b und 4c sowie §§10 und 13 bis 20 des Bundesdaten- 
schulzgeselzes keine Anwendung.“ 


Artikel 5 

Änderung des Sieherheitsüberprüfungsgesetzes 

In § 36 Abs. 1 des Sicherheilsüberprüfungsgesetzes vom 
20. April 1994 (BGBl. I S. 867) werden nach den Wörtern 


„Vorschriften des Ersten Abschnitts“ die Wörter „mit Aus- 
nahme von § 3 Abs. 2 und 8 Satz 1, § 4 Abs. 2 bis 4, §§ 4b 
und 4c“ eingefügt. 


Artikel 6 

Änderung des Bundesgrenzsehutzgesetzes 

§ 37 des Bundesgrenzschutzgesetzes vom 19. Oktober 
1994 (BGBl. I S. 2978), geändert durch Artikel 3 des Geset- 
zes vom 7. Juli 1997 (BGBl. I S. 1650), wird wie folgt ge- 
fasst: 

„Bei der Erfüllung der dem Bundesgrenzschutz nach den 
§§ 1 bis 7 obliegenden Aufgaben finden § 3 Abs. 2 und 8 
Satz 1, § 4 Abs. 2 bis 4, §§ 4b, 4c, 10 Abs. 1, §§ 13, 14 
Abs. 1, 2 und 5, §§ 15, 16, 18 Abs. 2 Satz 2 und 3 sowie 
§§ 19a und 20 des Bundesdatenschutzgesetzes keine An- 
wendung.“ 


Artikel 7 

Änderung des Bundeskriminalamtgesetzes 

§ 37 des Bundeskriminalamtgesetzes vom 7. Juli 1997 
(BGBl. I S. 1650) wird wie folgt gefasst: 

„Bei der Erfüllung der Aufgaben nach den §§ 2, 3, 5 und 6 
durch das Bundeskriminalamt finden § 3 Abs. 2 und 8 
Satz 1, § 4 Abs. 2 bis 4, §§ 4 b, 4c, 10 Abs. 1, §§ 13, 14 
Abs. 1, 2, 4 und 5, §§ 15, 16, 18 Abs. 2 Satz 2 und 3 sowie 
die §§ 19a und 20 des Bundesdatenschutzgesetzes keine An- 
wendung.“ 


Artikel 8 

Änderung des Sozialgesetzbuehes 


§1 

Änderung des Ersten Buches Sozialgesetzbuch 
- Allgemeiner Teil - 


§ 35 Abs. 3 des Ersten Buches Sozialgesetzbuch - Allge- 
meiner Teil - (Artikel I des Gesetzes vom 11. Dezember 
1975, BGBl. I S. 3015), zuletzt geändert durch 
, wird wie folgt gefasst: 

„(3) Soweit eine Übermittlung nicht zulässig ist, besteht 
keine Auskunftspflicht, keine Zeugnispflicht und keine 
Pflicht zur Vorlegung oder Auslieferung von Schriftstücken, 
nicht automatisierten Dateien und automatisiert erhobenen, 
verarbeiteten oder genutzten Sozialdaten.“ 


§2 

Änderung des Zehnten Buches Sozialgesetzbuch 
- Verwaltungsverfahren - 


Das Zehnte Buch Sozialgesetzbuch - Verwaltungsverfah- 
ren- (Artikel 1 des Gesetzes vom 18. August 1980, BGBl. I 

S. 1469), zuletzt geändert durch , wird wie folgt 

geändert: 

1 . § 67 wird wie folgt geändert: 


a) Absatz 3 wird wie folgt gefasst: 
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2. § 67a wird wie folgt geändert: 


„(3) Automatisiert im Sinne dieses Gesetzbuches 
ist die Erhebung, Verarbeitung oder Nutzung von So- 
zialdaten, wenn sie unter Einsatz von Datenverarbei- 
tungsanlagen durchgeführt wird (automatisierte Ver- 
arbeitung). Eine nicht automatisierte Datei ist jede 
nicht automatisierte Sammlung von Sozialdaten, die 
gleichartig aufgebaut ist und nach bestimmten Merk- 
malen zugänglich ist und ausgewertet werden kann.“ 

b) Absatz 4 wird aufgehoben. 

c) Absatz 6 Satz 2 Nr. 3 wird wie folgt geändert: 

aa) Nach den Wörtern „an einen Dritten“ wird der 
Klammerzusatz „(Empfänger)“ gestrichen. 

bb) ln Buchstabe a werden die Wörter „durch die 
speichernde Stelle“ gestrichen und das Wort 
„Empfänger“ durch das Wort „Dritten“ ersetzt. 

cc) ln Buchstabe b werden das Wort „Empfänger“ 
durch das Wort „Dritte“ ersetzt und die Wörter 
„von der speichernden Stelle“ gestrichen. 

d) ln Absatz 7 wird das Wort „speichernden“ durch 
das Wort „verantwortlichen“ ersetzt. 

e) Nach Absatz 8 wird folgender Absatz eingefugt: 

„(8a) Pseudonymisieren ist das Ersetzen des Na- 
mens und anderer Identifikationsmerkmale durch 
ein Kennzeichen zu dem Zweck, die Bestimmung 
des Betroffenen auszuschließen oder wesentlich zu 
erschweren.“ 

f) Absatz 9 wird wie folgt geändert: 

aa) Die Sätze 1 und 2 werden wie folgt gefasst: 

„(9) Verantwortliche Stelle ist jede Person 
oder Stelle, die Sozialdaten für sich selbst er- 
hebt, verarbeitet oder nutzt oder dies durch an- 
dere im Auftrag vornehmen lässt. Werden Sozi- 
aldaten von einem Leistungsträger im Sinne 
von § 12 des Ersten Buches erhoben, verarbei- 
tet oder genutzt, ist verantwortliche Stelle der 
Leistungsträger.“ 

bb) ln Satz 3 wird das Wort „speichernde“ durch 
das Wort „verantwortliche“ ersetzt. 

g) Absatz 10 wird wie folgt gefasst: 

„(10) Empfänger ist jede Person oder Stelle, die 
Sozialdaten erhält. Dritter ist jede Person oder 
Stelle außerhalb der verantwortlichen Stelle. Dritte 
sind nicht der Betroffene sowie diejenigen Perso- 
nen und Stellen, die im Inland oder im Geltungsbe- 
reich der Rechtsvorschriften zum Schutz personen- 
bezogener Daten der Mitgliedstaaten der 
Europäischen Union Sozialdaten im Auftrag erhe- 
ben, verarbeiten oder nutzen.“ 

h) Nach Absatz 1 1 wird folgender Absatz 12 angefugt: 

„(12) Besondere Arten personenbezogener Daten 
sind Angaben über die rassische und ethnische Her- 
kunft, politische Meinungen, religiöse oder philoso- 
phische Überzeugungen, Gewerkschaftszugehörig- 
keit, Gesundheit oder Sexualleben.“ 


a) Dem Absatz 1 werden folgende Sätze angefügt: 

„Dies gilt auch für besondere Arten personenbezoge- 
ner Daten (§ 67 Abs. 12). Angaben über die rassische 
Herkunft dürfen ohne Einwilligung des Betroffenen, 
die sich ausdrücklich auf diese Daten beziehen muss, 
nicht erhoben werden. Ist die Einwilligung des Be- 
troffenen durch Gesetz vorgesehen, hat sie sich aus- 
drücklich auf besondere Arten personenbezogener 
Daten (§ 67 Abs. 12) zu beziehen.“ 

b) Absatz 3 wird wie folgt gefasst: 

„(3) Werden Sozialdaten beim Betroffenen erho- 
ben, ist er, sofern er nicht bereits auf andere Weise 
Kenntnis erlangt hat, über die Zweckbestimmungen 
der Erhebung, Verarbeitung oder Nutzung und die 
Identität der verantwortlichen Stelle zu unterrichten. 
Über Kategorien von Empfängern ist der Betroffene 
nur zu unterrichten, soweit 

1 . er nach den Umständen des Einzelfalles nicht mit 
der Nutzung oder der Übermittlung an diese rech- 
nen muss, 

2. es sich nicht um eine Verarbeitung oder Nutzung 
innerhalb einer in § 35 des Ersten Buches genann- 
ten Stelle oder einer Organisationseinheit im 
Sinne von § 67 Abs. 9 Satz 3 handelt oder 

3. es sich nicht um eine Kategorie von in § 35 des 
Ersten Buches genannten Stellen oder von Orga- 
nisationseinheiten im Sinne von § 67 Abs. 9 Satz 
3 handelt, die auf Grund eines Gesetzes zur engen 
Zusammenarbeit verpflichtet sind. 

Werden Sozialdaten beim Betroffenen auf Grund ei- 
ner Rechtsvorschrift erhoben, die zur Auskunft ver- 
pflichtet, oder ist die Erteilung der Auskunft Voraus- 
setzung für die Gewährung von Rechtsvorteilen, ist 
der Betroffene hierauf sowie auf die Rechtsvor- 
schrift, die zur Auskunft verpflichtet und die Folgen 
der Verweigerung von Angaben, sonst auf die Frei- 
willigkeit seiner Angaben hinzuweisen.“ 

c) Nach Absatz 4 wird folgender Absatz angefügt: 

„(5) Werden Sozialdaten weder beim Betroffenen 
noch bei einer in § 35 des Ersten Buches genannten 
Stelle erhoben und hat der Betroffene davon keine 
Kenntnis, ist er von der Speicherung, der Identität der 
verantwortlichen Stelle sowie über die Zweckbestim- 
mungen der Erhebung, Verarbeitung oder Nutzung zu 
unterrichten. Eine Pflicht zur Unterrichtung besteht 
nicht, wenn 

1 . der Betroffene bereits auf andere Weise Kenntnis 
von der Speicherung oder der Übermittlung er- 
langt hat, 

2. die Unterrichtung des Betroffenen einen unver- 
hältnismäßigen Aufwand erfordert oder 

3. die Speicherung oder Übermittlung der Sozialda- 
ten auf Grund eines Gesetzes ausdrücklich vorge- 
sehen ist. 
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über Kategorien von Empfängern ist der Betroffene 
nur zu unterrichten, soweit 

1 . er nach den Umständen des Einzelfalles nicht mit 
der Nutzung oder der Übermittlung an diese rech- 
nen muss, 

2. es sich nicht um eine Verarbeitung oder Nutzung 
innerhalb einer in § 35 des Ersten Buches genann- 
ten Stelle oder einer Organisationseinheit im 
Sinne von § 67 Abs. 9 Satz 3 handelt oder 

3. es sich nicht um eine Kategorie von in § 35 des 
Ersten Buches genannten Stellen oder von Organi- 
sationseinheiten im Sinne von § 67 Abs. 9 Satz 3 
handelt, die auf Grund eines Gesetzes zur engen 
Zusammenarbeit verpflichtet sind. 

Sofern eine Übermittlung vorgesehen ist, hat die Un- 
terrichtung spätestens bei der ersten Übermittlung zu 
erfolgen. Die verantwortliche Stelle legt schriftlich 
fest, unter welchen Voraussetzungen von einer Unter- 
richtung nach Satz 2 Nr. 2 und 3 abgesehen wird. 
§ 83 Abs. 2 bis 4 gilt entsprechend.“ 

3. § 67b wird wie folgt geändert: 

a) Dem Absatz 1 wird folgender Satz angefügt: 

„§ 67a Abs. 1 Satz 2 bis 4 gilt entsprechend mit der 
Maßgabe, dass die Übermittlung ohne Einwilligung 
des Betroffenen nur insoweit zulässig ist, als es sich 
um Daten über die Gesundheit oder das Sexualleben 
handelt oder die Übermittlung zwischen Trägern der 
gesetzlichen Rentenversicherung oder zwischen Trä- 
gem der gesetzlichen Rentenversichemng und deren 
Verbänden und Arbeitsgemeinschaften zur Erfüllung 
einer gesetzlichen Aufgabe erforderlich ist.“ 

b) Absatz 2 wird wie folgt geändert: 

aa) In Satz 1 werden die Wörter „Speicherang und 
einer vorgesehenen Übermittlung“ durch die 
Wörter „vorgesehenen Verarbeitung oder Nut- 
zung“ ersetzt. 

bb) Folgender Satz 2 wird eingefügt: 

„Die Einwilligung des Betroffenen ist nur wirk- 
sam, wenn sie auf dessen freier Entscheidung 
beruht.“ 

c) In Absatz 3 Satz I wird die Angabe „Satz 2“ durch 
die Angabe „Satz 3“ ersetzt. 

d) Nach Absatz 3 wird folgender Absatz angefügt: 

„(4) Entscheidungen, die für den Betroffenen eine 
rechtliche Folge nach sich ziehen oder ihn erheblich 
beeinträchtigen, dürfen nicht ausschließlich auf eine 
automatisierte Verarbeitung von Sozialdaten gestützt 
werden, die der Bewertung einzelner Persönlichkeits- 
merkmale dient.“ 

4. § 67c wird wie folgt geändert: 

a) In Absatz 1 Satz 1 wird das Wort „speichernden“ 
durch das Wort „verantwortlichen“ ersetzt. 

b) In Absatz 3 Satz 1 und 2 wird jeweils das Wort „spei- 
chernde“ durch das Wort „verantwortliche“ ersetzt. 


5. § 67d wird wie folgt geändert: 

a) In Absatz 2 Satz 2 werden die Wörter „des Empfän- 
gers“ durch die Wörter „des Dritten, an den die Daten 
übermittelt werden“ ersetzt. 

b) In Absatz 3 werden die Wörter „in Akten“ gestri- 
chen. 

6. In § 69 Abs. 1 Nr. 1 werden die Wörter „des Empfän- 
gers“ durch die Wörter „des Dritten, an den die Daten 
übermittelt werden“ ersetzt. 

7. § 75 wird wie folgt geändert: 

a) In Absatz 2 Satz 3 Nr. 1 wird das Wort „Empfänger“ 
durch die Wörter „Dritten, an den die Daten übermit- 
telt werden“ ersetzt. 

b) Absatz 4 wird wie folgt gefasst: 

„(4) Ist der Dritte, an den Daten übermittelt wer- 
den, eine nicht öffentliche Stelle, gilt § 38 des Bun- 
desdatenschutzgesetzes mit der Maßgabe, dass die 
Kontrolle auch erfolgen kann, wenn die Daten nicht 
automatisiert oder nicht in nicht automatisierten Da- 
teien verarbeitet oder genutzt werden.“ 

8. In § 76 Abs. 2 Nr. 1 wird das Wort „speichernden“ durch 
das Wort „verantwortlichen“ ersetzt. 

9. § 77 wird wie folgt gefasst: 

„§ 77 

Übermittlung ins Ausland und an über- oder 
zwischenstaatliche Stellen 

(1) Die Übermittlung von Sozialdaten an Personen 
oder Stellen in Mitgliedstaaten der Europäischen Union 
ist zulässig, soweit 

1 . dies für die Erfüllung einer gesetzlichen Aufgabe der 
in § 35 des Ersten Buches genannten übermittelnden 
Stelle nach diesem Gesetzbuch oder zur Erfüllung ei- 
ner solchen Aufgabe von ausländischen Stellen erfor- 
derlich ist, soweit diese Aufgaben wahraehmen, die 
denen der in § 35 des Ersten Buches genannten Stel- 
len entsprechen, 

2. die Voraussetzungen des § 69 Abs. 1 Nr. 3 oder des 
§ 70 oder einer Übermittlungsvorschrift nach dem 
Dritten Buch oder dem Arbeitnehmerüberlassungsge- 
setz vorliegen und die Aufgaben der ausländischen 
Stelle den in diesen Vorschriften genannten entspre- 
chen oder 

3. die Voraussetzungen des § 74 vorliegen und die ge- 
richtlich geltend gemachten Ansprüche oder die 
Rechte des Empfängers den in dieser Vorschrift ge- 
nannten entsprechen. 

(2) Absatz 1 gilt entsprechend für die Übermittlung an 
Personen oder Stellen in einem Drittstaat sowie an Über- 
oder zwischenstaatliche Stellen, wenn der Drittstaat oder 
die über- oder zwischenstaatliche Stelle ein angemesse- 
nes Datenschutzniveau gewährleistet. Die Angemessen- 
heit des Datenschutzniveaus wird unter Berücksichti- 
gung aller Umstände beurteilt, die bei einer Datenüber- 
mittlung oder einer Kategorie von Datenübermittlungen 
von Bedeutung sind; insbesondere können die Art der 
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Sozialdaten, die Zweckbestimmung, die Dauer der ge- 
planten Verarbeitung, das Herkunfts- und das Endbe- 
stimmungsland, die für den betreffenden Empfänger gel- 
tenden Rechtsnormen sowie die für ihn geltenden Stan- 
desregeln und Sicherheitsmaßnahmen herangezogen 
werden. Bis zur Feststellung der Kommission der Euro- 
päischen Gemeinschaften entscheidet das Bundesversi- 
cherungsamt, ob ein angemessenes Datenschutzniveau 
gewährleistet ist. 

(3) Eine Übermittlung von Sozialdaten an Personen 
oder Stellen im Ausland oder an über- oder zwischen- 
staatliche Stellen ist auch zulässig, wenn 

1 . der Betroffene seine Einwilligung gegeben hat, 

2. die Übermittlung in Anwendung zwischenstaatlicher 
Übereinkommen auf dem Gebiet der sozialen Sicher- 
heit erfolgt oder 

3. die Voraussetzungen des § 69 Abs. 1 Nr. 2 oder des 
§ 73 vorhegen, die Aufgaben der ausländischen 
Stelle den in diesen Vorschriften genannten entspre- 
chen und der ausländische Staat oder die über- oder 
zwischenstaatliche Stehe ein angemessenes Daten- 
schutzniveau (Absatz 2) gewährleistet; für die An- 
ordnung einer Übermittlung nach § 73 ist ein Gericht 
im Inland zuständig. 

Die Übermittlung ist nur zulässig, soweit der Betroffene 
kein schutzwürdiges Interesse an dem Ausschluss der 
Übermittlung hat. 

(4) Gewährleistet der Drittstaat oder die über- oder 
zwischenstaatliche Stelle ein angemessenes Daten- 
schutzniveau (Absatz 2) nicht, ist die Übermittlung von 
Sozialdaten an die Stelle im Drittstaat oder die Über- 
oder zwischenstaatliche Stelle auch zulässig, soweit die 
Voraussetzungen des § 69 Abs. 1 Nr. 1 und 2, des § 70 
oder einer Übermittlungsvorschrift nach dem Dritten 
Buch oder dem Arbeitnehmerüberlassungsgesetz vorhe- 
gen und der Betroffene kein schutzwürdiges Interesse an 
dem Ausschluss der Übermittlung hat. 

(5) Die Stelle, an die die Daten übermittelt werden, ist 
darauf hinzuweisen, dass die übermittelten Sozialdaten 
nur zu dem Zweck verarbeitet oder genutzt werden dür- 
fen, zu dessen Erfüllung sie übermittelt werden. 

(6) Das Bundesversicherungsamt unterrichtet das 
Bundesministerium des Innern über Drittstaaten und 
über- oder zwischenstaatliche Stehen, die kein angemes- 
senes Datenschutzniveau gewährleisten.“ 

10. § 78 wird wie folgt geändert: 

a) In der Überschrift werden die Wörter „des Empfän- 
gers“ durch die Wörter „eines Dritten, an den Daten 
übermittelt werden“ ersetzt. 

b) In Absatz I Satz 2 und 3 wird jeweils das Wort 
„Empfänger“ durch das Wort „Dritten“ ersetzt. 

11. In § 78a Satz 1 werden vor dem Wort „verarbeiten“ die 
Angabe „erheben,“ und nach dem Wort „verarbeiten“ 
die Wörter „oder nutzen“ eingefügt. 

12. Nach § 78a werden folgende Paragraphen eingefügt: 


„§ 78b 

Datenvermeidung und Datensparsamkeit 

Gestaltung und Auswahl von Datenverarbeitungs- 
systemen haben sich an dem Ziel auszurichten, keine 
oder so wenig Sozialdaten wie möglich zu erheben, zu 
verarbeiten oder zu nutzen. Insbesondere ist von den 
Möglichkeiten der Anonymisierung und Pseudonymi- 
sierung Gebrauch zu machen, soweit dies möglich ist 
und der Aufwand in einem angemessenen Verhältnis 
zu dem angestrebten Schutzzweck steht. 

§78c 

Datenschutzaudit 

Zur Verbesserung des Datenschutzes und der Daten- 
sicherheit können Anbieter von Datenverarbeitungs- 
systemen und -Programmen und datenverarbeitende 
Stellen ihr Datenschutzkonzept sowie ihre technischen 
Einrichtungen durch unabhängige und zugelassene 
Gutachter prüfen und bewerten lassen sowie das Er- 
gebnis der Prüfung veröffentlichen. Die näheren An- 
forderungen an die Prüfung und Bewertung, das Ver- 
fahren sowie die Auswahl und Zulassung der Gutach- 
ter werden durch besonderes Gesetz geregelt.“ 

13. § 79 wird wie folgt geändert: 

a) In Absatz 2 Satz 2 Nr. 2 wird das Wort „Datenemp- 
fänger“ durch die Wörter „Dritte, an die übermittelt 
wird“ ersetzt. 

b) In Absatz 4 Satz 1 wird das Wort „Empfänger“ 
durch die Wörter „Dritte, an den übermittelt wird“ 
ersetzt. 

14. § 80 wird wie folgt geändert: 

a) Die Überschrift wird wie folgt gefasst: 

„Erhebung, Verarbeitung oder Nutzung 
von Sozialdaten im Auftrag“ 

b) In Absatz 1 Satz 1 wird nach dem Wort „Stellen“ 
die Angabe „erhoben,“ eingefügt. 

c) Absatz 2 Satz 1 und 2 wird wie folgt gefasst: 

„(2) Eine Auftragserteilung für die Erhebung, 
Verarbeitung oder Nutzung von Sozialdaten ist nur 
zulässig, wenn der Datenschutz beim Auftragneh- 
mer nach der Art der zu erhebenden, zu verarbei- 
tenden oder zu nutzenden Daten den Anforderun- 
gen genügt, die für den Auftraggeber gelten. Der 
Auftrag ist schriftlich zu erteilen, wobei die Date- 
nerhebung, -Verarbeitung oder -nutzung, die techni- 
schen und organisatorischen Maßnahmen und etwa- 
ige Unterauftragsverhältnisse festzulegen sind.“ 

d) In Absatz 3 Satz 1 werden die Nummern 2 und 3 
wie folgt gefasst: 

„2. die Art der Daten, die im Auftrag erhoben, verar- 
beitet oder genutzt werden sollen, und den Kreis 
der Betroffenen, 

3. die Aufgabe, zu deren Erfüllung die Erhebung, 
Verarbeitung oder Nutzung der Daten im Auftrag 
erfolgen soll, sowie“. 
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e) In Absatz 5 wird vor den Wörtern „Verarbeitung 
oder Nutzung“ die Angabe „Erhebung,“ eingefiigt. 

f) In Absatz 6 Satz 1 wird die Angabe „§ 18 Abs. 2 
und 3 und die §§ 24, 25, 26 Abs. 1 bis 4 des Bun- 
desdatenschutzgesetzes“ durch die Angabe „§ 4g 
Abs. 2, § 18 Abs. 2 und die §§ 24 bis 26 des Bun- 
desdatenschutzgesetzes“ ersetzt. 

g) Nach Absatz 6 wird folgender Absatz 7 angefugt: 

„(7) Die Absätze 1, 2, 4 und 6 gelten entspre- 
chend, wenn die Prüfung oder Wartung automati- 
sierter Verfahren oder von Datenverarbeitungsanla- 
gen durch andere Stellen im Auftrag vorgenommen 
wird und dabei ein Zugriff auf Sozialdaten nicht 
ausgeschlossen werden kann. Verträge über War- 
tungsarbeiten sind in diesem Falle rechtzeitig vor 
der Auftragserteilung der Aufsichtsbehörde mitzu- 
teilen; sind Störungen im Betriebsablauf zu erwar- 
ten oder bereits eingetreten, ist der Vertrag unver- 
züglich mitzuteilen.“ 

15. § 81 wird wie folgt geändert: 

a) Absatz 2 Satz 1 wird wie folgt gefasst: 

„(2) Bei der Wahrnehmung von Aufgaben nach 
diesem Gesetzbuch gelten für die in § 35 des Ersten 
Buches genannten Stellen die §§24 bis 26 des Bun- 
desdatenschutzgesetzes.“ 

b) Absatz 4 wird wie folgt gefasst: 

„(4) Auf die in § 35 des Ersten Buches genannten 
Stellen und die Vermittlungsstellen nach § 67d 
Abs . 4 sind die § § 4f, 4g mit Ausnahme des Absatzes 
1 Satz 3 sowie § 18 Abs. 2 des Bundesdatenschutz- 
gesetzes entsprechend anzuwenden. In räumlich 
getrennten Organisationseinheiten ist sicherzustel- 
len, dass der Beauftragte für den Datenschutz bei der 
Erfüllung seiner Aufgaben unterstützt wird. Die 
Sätze 1 und 2 gelten nicht für öffentliche Stellen der 
Länder mit Ausnahme der Sozialversicherungsträger 
und ihrer Verbände. Absatz 2 Satz 2 und 3 gilt ent- 
sprechend.“ 

16. § 82 wird wie folgt gefasst: 

„§ 82 

Schadensersatz 

Fügt eine in § 35 des Ersten Buches genannte Stelle 
dem Betroffenen durch eine nach diesem Gesetzbuch 
oder nach anderen Vorschriften über den Datenschutz 
unzulässige oder unrichtige Erhebung, Verarbeitung 
oder Nutzung seiner personenbezogenen Sozialdaten 
schuldhaft einen Schaden zu, ist § 7 des Bundesdaten- 
schutzgesetzes entsprechend anzuwenden. Für den Er- 
satz des Schadens bei unzulässiger oder unrichtiger au- 
tomatisierter Erhebung, Verarbeitung oder Nutzung 
von personenbezogenen Sozialdaten gilt auch § 8 des 
Bundesdatenschutzgesetzes entsprechend.“ 

17. § 83 wird wie folgt geändert: 

a) Absatz 1 wird wie folgt geändert: 
aa) Satz 1 wird wie folgt gefasst: 


„Dem Betroffenen ist auf Antrag Auskunft zu 
erteilen über 

1 . die zu seiner Person gespeicherten Sozialda- 
ten, auch soweit sie sich auf die Herkunft 
dieser Daten beziehen, 

2. die Empfänger oder Kategorien von Empfän- 
gern, an die Daten weitergegeben werden, 
und 

3. den Zweck der Speicherung.“ 

bb) In Satz 3 werden die Wörter „in Akten“ durch 
die Wörter „nicht automatisiert oder nicht in 
nicht automatisierten Dateien“ ersetzt. 

cc) In Satz 4 wird das Wort „speichernde“ durch 
das Wort „verantwortliche“ ersetzt. 

b) Absatz 2 wird wie folgt gefasst: 

„(2) Für Sozialdaten, die nur deshalb gespeichert 
sind, weil sie auf Grund gesetzlicher, satzungsmä- 
ßiger oder vertraglicher Aufbewahrungsvorschrif- 
ten nicht gelöscht werden dürfen, oder die aus- 
schließlich Zwecken der Datensicherung oder der 
Datenschutzkontrolle dienen, gilt Absatz 1 nicht, 
wenn eine Auskunftserteilung einen unverhältnis- 
mäßigen Aufwand erfordern würde.“ 

c) In Absatz 4 Nr. 1 wird das Wort „speichernden“ 
durch das Wort „verantwortlichen“ ersetzt. 

18. § 84 wird wie folgt geändert: 

a) In der Überschrift wird nach dem Wort „Daten“ ein 
Semikolon sowie das Wort „Widerspruchsrecht“ 
angefügt. 

b) Absatz 1 Satz 2 wird wie folgt gefasst: 

„Wird die Richtigkeit von Sozialdaten von dem Be- 
troffenen bestritten und lässt sich weder die Rich- 
tigkeit noch die Unrichtigkeit der Daten feststellen, 
bewirkt dies keine Sperrung, soweit es um die Er- 
füllung sozialer Aufgaben geht; die ungeklärte 
Sachlage ist in geeigneterweise festzuhalten.“ 

c) Nach Absatz 1 wird folgender Absatz eingefügt: 

„(la) § 20 Abs. 5 des Bundesdatenschutzgeset- 
zes gilt entsprechend.“ 

d) In Absatz 2 Satz 2 wird das Wort „speichernde“ 
durch das Wort „verantwortliche“ ersetzt. 

e) In Absatz 4 Nr. 1 wird das Wort „speichernden“ 
durch das Wort „verantwortlichen“ ersetzt. 

f) Absatz 5 wird wie folgt gefasst: 

„(5) Von der Tatsache, dass Sozialdaten bestritten 
oder nicht mehr bestritten sind, von der Berichti- 
gung unrichtiger Daten sowie der Löschung oder 
Sperrung wegen Unzulässigkeit der Speicherung 
sind die Stellen zu verständigen, denen im Rahmen 
einer Datenübermittlung diese Daten zur Speiche- 
rung weitergegeben worden sind, wenn dies keinen 
unverhältnismäßigen Aufwand erfordert und 
schutzwürdige Interessen des Betroffenen nicht ent- 
gegenstehen.“ 
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19. § 84a Abs. 2 wird wie folgt geändert: 

a) Satz 1 wird wie folgt gefasst: 

„(2) Sind die Daten des Betroffenen automati- 
siert oder in einer nicht automatisierten Datei ge- 
speichert und sind mehrere Stellen speicherungsbe- 
rechtigt, kann der Betroffene sich an jede dieser 
Stellen wenden, wenn er nicht in der Lage ist, fest- 
zustellen, welche Stelle die Daten gespeichert hat.“ 

b) ln Satz 2 werden die Wörter „speichernde Stelle“ 
durch die Wörter „Stelle, die die Daten gespeichert 
hat,“ ersetzt. 

c) ln Satz 3 werden die Wörter „die speichernde“ 
durch das Wort ,oene“ ersetzt. 

20. § 85 wird wie folgt geändert: 

a) Die Absätze 1 und 2 werden wie folgt gefasst: 

„(1) Wer unbefugt Sozialdaten, die nicht offen- 
kundig sind, 

1 . erhebt oder verarbeitet, 

2. zum Abruf mittels automatisierten Verfahrens 
bereithält oder 

3. abruft oder sich oder einem anderen aus automa- 
tisierten Verarbeitungen oder nicht automatisier- 
ten Dateien verschafft, 

wird mit Freiheitsstrafe bis zu einem Jahr oder mit 
Geldstrafe bestraft. 

(2) Ebenso wird bestraft, wer 

1. die Übermittlung von Sozialdaten, die nicht of- 
fenkundig sind, durch unrichtige Angaben er- 
schleicht oder 

2. entgegen § 67c Abs. 5 Satz 1 oder § 78 Abs. 1 
Satz 1 die Sozialdaten für andere Zwecke nutzt, 
in dem er sie an Dritte weitergibt.“ 

b) Absatz 4 wird wie folgt gefasst: 

„(4) Die Tat wird nur auf Antrag verfolgt. An- 
tragsberechtigt sind der Betroffene, die verantwort- 
liche Stelle, der Bundesbeauftragte für den Daten- 
schutz oder der zuständige Landesbeauftragte für 
den Datenschutz.“ 

21. ln § 85a Abs. 1 Nr. 3 wird die Angabe „§ 36 Abs. 1“ 
durch die Angabe „§ 4f Abs. 1“ ersetzt. 

22. Nach § 85a wird vor dem Dritten Kapitel folgender Pa- 
ragraph eingefügt: 

„§ 85b 

Übergangsvorschriften 

Erhebungen, Verarbeitungen oder Nutzungen von 

Sozialdaten, die am [Tag des Inkrafttretens 

dieses Gesetzes] bereits begonnen haben, sind binnen 
drei Jahren nach diesem Zeitpunkt mit den Vorschrif- 
ten dieses Gesetzes in Übereinstimmung zu bringen.“ 


23. Die Anlage zu § 78a wird wie folgt gefasst: 

„Werden Sozialdaten automatisiert verarbeitet oder ge- 
nutzt, ist die innerbehördliche oder innerbetriebliche 
Organisation so zu gestalten, dass sie den besonderen 
Anforderungen des Datenschutzes gerecht wird. Dabei 
sind insbesondere Maßnahmen zu treffen, die je nach 
der Art der zu schützenden Sozialdaten oder Katego- 
rien von Sozialdaten geeignet sind, 

1 . Unbefugten den Zutritt zu Datenverarbeitungsanla- 
gen, mit denen Sozialdaten verarbeitet oder genutzt 
werden, zu verwehren (Zutrittskontrolle), 

2. zu verhindern, dass Datenverarbeitungssysteme 
von Unbefugten genutzt werden können (Zugangs- 
kontrolle), 

3. zu gewährleisten, dass die zur Benutzung eines Da- 
tenverarbeitungssystems Berechtigten ausschließ- 
lich auf die ihrer Zugrittsberechtigung unterliegen- 
den Daten zugreifen können, und dass Sozialdaten 
bei der Verarbeitung, Nutzung und nach der Spei- 
cherung nicht unbefugt gelesen, kopiert, verändert 
oder entfernt werden können (Zugriffskontrolle), 

4. zu gewährleisten, dass Sozialdaten bei der elektro- 
nischen Übertragung oder während ihres Transports 
oder ihrer Speicherung auf Datenträger nicht unbe- 
fugt gelesen, kopiert, verändert oder entfernt wer- 
den können, und dass überprüft und festgestellt 
werden kann, an welche Stellen eine Übermittlung 
von Sozialdaten durch Einrichtungen zur Daten- 
übertragung vorgesehen ist (Weitergabekontrolle), 

5. zu gewährleisten, dass nachträglich überprüft und 
festgestellt werden kann, ob und von wem Sozial- 
daten in Datenverarbeitungssysteme eingegeben, 
verändert oder entfernt worden sind (Eingabekon- 
trolle), 

6. zu gewährleisten, dass Sozialdaten, die im Auftrag 
erhoben, verarbeitet oder genutzt werden, nur ent- 
sprechend den Weisungen des Auftraggebers erho- 
ben, verarbeitet oder genutzt werden können (Auf- 
tragskontrolle), 

7. zu gewährleisten, dass Sozialdaten gegen zufällige 
Zerstörung oder Verlust geschützt sind (Verfügbar- 
keitskontrolle), 

8. zu gewährleisten, dass zu unterschiedlichen Zwe- 
cken erhobene Sozialdaten getrennt verarbeitet 
werden können.“ 


Artikel 9 
Inkrafttreten 

Dieses Gesetz tritt am Tage nach der Verkündung in 
Kraft. 
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Begründung 


Zu Artikel 1 (Änderung des Bundesdatenschutzge- 
setzes) 

A. Allgemeines 
1. Allgemeine Vorgaben 

1.1 Zielsetzung 

Der Gesetzentwurf dient der Anpassung des Bundesdaten- 
schutzgesetzes (BDSG) an die Richtlinie 95/46/EG des Eu- 
ropäischen Parlaments und des Rates vom 24. Oktober 1995 
zum Schutz natürlicher Personen bei der Verarbeitung per- 
sonenbezogener Daten und zum freien Datenverkehr (ABI. 
EG L Nr. 281 vom 23. November 1995, S. 31 ff; im Fol- 
genden: Richtlinie). 

Die Richtlinie ist am 13. Dezember 1995 in Kraft getreten. 

Die Richtlinie konkretisiert und ergänzt die Grundsätze der 
Datenschutzkonvention des Europarates von 1981 (BGBl. 
1985 11, S. 538 ff). Sie erweitert die Informationsrechte des 
Bürgers und verpflichtet die Mitgliedstaaten zur Einrich- 
tung staatlicher Kontrollstellen, die die Einhaltung der in 
Umsetzung der Richtlinie geschaffenen nationalen Vor- 
schriften überwachen. 

Durch die Richtlinie wird ein einheitliches Datenschutzni- 
veau für die Ausführung und Anwendung des Gemein- 
schaftsrechts durch die Mitgliedstaaten der EU geschaffen. 
Daher ist der innergemeinschaftliche Datenverkehr inner- 
halb des Anwendungsbereichs der Richtlinie künftig dem 
inländischen gleichzustehen. Für den Austausch personen- 
bezogener Daten mit Drittstaaten sieht die Richtlinie eben- 
falls die grundsätzliche Geltung der gemeinschaftlichen 
Standards vor, ohne den Wirtschaftsverkehr unangemessen 
zu beeinträchtigen. 

1.2 Gesetzgebungskompetenz 

Eine ausdrückliche Kompetenz des Bundes zu einer umfas- 
senden Regelung der Querschnittsmaterie des Datenschut- 
zes enthält das Grundgesetz nicht. Die Gesetzgebungskom- 
petenz des Bundes ergibt sich aber im Rückgriff auf die dem 
Bund zustehenden Gesetzgebungskompetenzen für ver- 
schiedene Bereiche, die für den Datenschutz von Bedeutung 
sind. So folgt im Anwendungsbereich der öffentlichen Ver- 
waltung die Gesetzgebungsbefugnis aus der Annexkompe- 
tenz des Verwaltungsverfahrens zu den jeweiligen Sach- 
kompetenzen der Artikel 73 bis 75 des Grundgesetzes (GG). 
Bundesrechtliche Datenschutzbestimmungen können daher 
für die Verwaltungstätigkeit des Bundes sowie für die der 
Länder, soweit diese Bundesrecht ausführen, erlassen wer- 
den. 

Für die gesetzliche Regelung im nicht öffentlichen Bereich 
beruht die Gesetzgebungskompetenz des Bundes auf der je- 
weiligen Sachkompetenz, also insbesondere auf Artikel 74 
Nr. 1, 11 und 12 GG. Im Hinblick auf die Gegenstände der 
konkurrierenden Gesetzgebung ist maßgeblich, dass ein un- 


terschiedlicher Datenschutzstandard im nicht öffentlichen 
Bereich gravierende Auswirkungen auf die hierdurch in ers- 
ter Linie betroffene Wirtschaft hätte, die in ihrer unterneh- 
merischen Tätigkeit durch im Kern unterschiedliche Län- 
derregelungen gehemmt würde. Eine einheitliche Regelung 
durch den Bund zur Erzielung eines einheitlichen Daten- 
schutzstandards ist daher zur Wahrung der Rechts- und 
Wirtschaftseinheit im gesamtstaatlichen Interesse zwingend 
erforderlich. 


1.3 Kosten 

Der Gesetzentwurf ist darauf ausgerichtet, die Richtlinie in 
dem erforderlichen Umfang umzusetzen und dabei von den 
zur Verfügung stehenden Optionen in einer für Bund, Län- 
der, Gemeinden und Wirtschaft möglichst kostengünstigen 
Weise Gebrauch zu machen. Die geplante Regelung wird 
voraussichtlich durch folgende Änderungen zu Mehrbelas- 
tungen der Wirtschaft und Verwaltung führen: durch die 
Aufnahme des Grundsatzes der Datenvermeidung und 
-Sparsamkeit und des Vorrangs pseudonymer und anonymer 
Formen der Datenverarbeitung (§ 3a), die Einführung von 
Informationspflichten im Rahmen der Erhebung personen- 
bezogener Daten beim Betroffenen auch im nicht öffentli- 
chen Bereich (§4 Abs. 3), die Verpflichtung zur Kenntlich- 
machung der Beobachtung öffentlich zugänglicher Räume 
mit optisch-elektronischen Einrichtungen (§ 6b), die prinzi- 
pielle Benachrichtigungspflicht gegenüber dem Betroffenen 
im öffentlichen Bereich (§ 19a), die Einführung eines Aus- 
kunftsrechts bei sog. automatisierten Einzelentscheidungen 
(§ 6a Abs. 3), die Modifizierung der bestehenden Melde- 
pflicht für nicht öffentliche Stellen, die Einführung der sog. 
Vorabkontrohe für bestimmte automatisierte Verarbeitungen 
(§ 4d Abs. 5) sowie die obligatorische Bestellung von be- 
hördlichen Datenschutzbeauftragten im öffentlichen Be- 
reich. 

Im Einzelnen: 

Durch die Einführung des Grundsatzes der Datenvermei- 
dung und -Sparsamkeit in § 3a soll Einfluss auf die Gestal- 
tung der Systemstrukturen, in denen personenbezogene Da- 
ten erhoben und verarbeitet werden, genommen werden. 
Insbesondere in Verbindung mit dem Vorrang pseudonymer 
und anonymer Formen der Datenverarbeitung sind daher 
Mehrausgaben im Bereich der EDV sowohl für die Unter- 
nehmen als auch für die Verwaltung vorstellbar. Da der 
Grundsatz der Datenvermeidung und -Sparsamkeit erstmalig 
in das allgemeine Datenschutzrecht aufgenommen wird, 
sind konkrete Aussagen hierzu jedoch derzeit nicht mög- 
lich. 

Im Gegensatz zur bisherigen Rechtslage sind nunmehr auch 
nicht öffentliche Stehen, die personenbezogene Daten beim 
Betroffenen erheben, nach § 4 Abs. 3 diesem gegenüber 
u. a. zur Nennung der Identität der verantwortlichen Stelle 
sowie der Zweckbestimmungen der Erhebung, Verarbeitung 
oder Nutzung verpflichtet. Die Rechtsänderung beruht auf 
den Vorgaben von Artikel 10 der Richtlinie. Betroffen sind 
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alle Wirtschaftsuntemehmen, die personenbezogene Daten 
beim Betroffenen erheben. Es ist davon auszugehen, dass 
die Unternehmen ihrer Verpflichtung vorwiegend durch Er- 
gänzungen ihrer formularmäßigen Hinweise nachkommen 
werden. 

Die Pflicht zur Kenntlichmachung des Umstandes der 
Beobachtung und der verantwortlichen Stelle im Rahmen 
der Beobachtung öffentlich zugänglicher Räume mit op- 
tisch-elektronischen Einrichtungen (§ 6b Abs. 2) betrifft so- 
wohl die Unternehmen als auch die Verwaltung. Da diese 
Kenntlichmachungspflicht nach den bereits bestehenden Er- 
fahrungen im Regelfall durch entsprechende Hinweisschil- 
der erfüllt wird, kann davon ausgegangen werden, dass die 
hierdurch verursachte Mehrbelastung insgesamt gering blei- 
ben dürfte. 

Die aufgrund von Artikel 11 der Richtlinie einzuführende 
Benachrichtigungspflicht des Betroffenen im öffentlichen 
Bereich über die Speicherung bzw. Übermittlung seiner Da- 
ten wird sich angesichts des weitgehenden Ausnahmekata- 
logs (vgl. § 19a Abs. 2) für die öffentlichen Stellen nahezu 
kostenneutral auswirken. 

Die Richtlinie verpflichtet in Artikel 12 Buchstabe a dritter 
Spiegelstrich zur Schaffung eines Auskunftsrechts über den 
„logischen Aufbau automatisierter Verarbeitungen“. Dieses 
neue Auskunftsrecht war gemäß der Richtlinie „zumindest 
im Fall automatisierter Entscheidungen“ zwingend umzu- 
setzen. Nur in diesem Bereich wurde es umgesetzt durch die 
Einstellung in § 6a Abs. 3. Betroffen sind hiervon die öf- 
fentliche Verwaltung und alle Wirtschaftsuntemehmen, die 
automatisierte Einzelentscheidungen im Sinne des § 6a tref- 
fen. In der Vorschrift werden alle Ausnahmen vom Verbot 
derartiger automatisierter Einzelentscheidungen ausge- 
schöpft (§ 6a Abs. 2). Der Anwendungsbereich der Vor- 
schrift und somit auch des Auskunftsrechts wird daher eher 
gering sein, die zu erwartende Mehrbelastung der öffentli- 
chen Verwaltung und der betroffenen Wirtschaftsuntemeh- 
men dürfte insgesamt gering bleiben. 

Im Hinblick auf die Meldepflicht für automatisierte Verar- 
beitungen durch Wirtschaftsuntemehmen macht der Gesetz- 
entwurf- ausgehend von dem in Artikel 1 8 Abs. 1 der Richt- 
linie zwingend vorgeschriebenen Prinzip der allgemeinen 
Meldepflicht - Gebrauch von der Option, von der Melde- 
pflicht abzusehen, sofern entweder ein betrieblicher/behörd- 
licher Datenschutzbeauftragter bestellt wird oder es sich um 
eine sog. weniger beeinträchtigende Verarbeitung handelt 
(Artikel 1 8 Abs. 2 erster und zweiter Spiegelstrich der Richt- 
linie). Der Entwurf zielt auf die möglichst weitgehende Ab- 
schaffung von Meldepflichten und setzt daher beide Ausnah- 
men von der Meldepflicht um (§ 4d Abs. 2 und 3). Für den 
öffentlichen Bereich hat dies die völlige Abschaffung der 
Meldepflicht und damit auch den Verzicht auf das beim Bun- 
desbeauftragten für den Datenschutz eingerichtete Register 
der bei öffentlichen Stellen des Bundes geführten automati- 
sierten Dateien zur Folge. Im nicht öffentlichen Bereich ver- 
bleibt es insoweit bei der derzeit bereits geltenden Verpflich- 
tung, betriebliche Datenschutzbeauftragte zu bestellen, so- 
weit mehr als vier Arbeitnehmer mit automatisierter Daten- 
verarbeitung beschäftigt sind. In diesem Fall entfällt 
zukünftig die Meldepflicht. Zur Vermeidung der Melde- 
pflicht kann ein betrieblicher Datenschutzbeauftragter auch 


auf freiwilliger Basis bestellt werden (§ 4d Abs. 2 Satz 2). In 
den übrigen Fällen besteht eine Meldepflicht, sofern es sich 
nicht um „weniger beeinträchtigende Verarbeitungen“ im 
Sinne des Artikels 18 Abs. 2 erster Spiegelstrich der Richtli- 
nie handelt. Dies ist der Fall, wenn personenbezogene Daten 
für eigene Zwecke erhoben, verarbeitet oder genutzt werden, 
hierbei höchstens vier Arbeitnehmer beschäftigt sind und 
entweder eine Einwilligung des Betroffenen vorhegt oder 
die Erhebung, Verarbeitung oder Nutzung der Zweckbestim- 
mung eines Vertragsverhälfnisses oder vertragsähnlichen 
Vertrauensverhältnisses dient (§ 4d Abs. 3). 

Diese Voraussetzung wird regelmäßig bei der Datenverar- 
beitung einer Reihe von selbständig Bemfstätigen, etwa Ar- 
chitekten, Ärzten, Apothekern u. ä., vorhegen. 

Die in § 4d Abs. 5 vorgesehene Vorabkontrolle betrifft be- 
sonders risikoreiche Datenverarbeitungen. Da es sich bei 
der Vorabkontrolle um eine neue Einrichtung handelt, ist 
der damit verbundene Zeit- und Kostenaufwand noch nicht 
absehbar. Zuständig für die Durchführung der Vorabkon- 
trolle ist der betriebliche Datenschutzbeauftragte. 

Der Arbeitsaufwand des betrieblichen Datenschutzbeauf- 
tragten wird durch zwei neue Aufgaben vermutlich nur ge- 
ringfügig erhöht: Die bereits erwähnte Vorabkontrolle sowie 
die ebenfalls durch den betrieblichen Datenschutzbeauftrag- 
ten zu erfüllende Aufgabe nach §4g Abs. 2 Satz 2, Angaben 
zu automatisierten Verarbeitungen „auf Antrag jedermann 
in geeigneter Weise verfügbar zu machen“. Diese zweite 
Aufgabe beruht auf Artikel 21 Abs. 3 der Richtlinie. Sie ob- 
liegt auch dem behördlichen Datenschutzbeauftragten, der 
bereits jetzt in allen obersten Bundesbehörden ohne gesetz- 
liche Verpflichtung existiert. Mit Blick auf die vergleichba- 
ren Regelungen in § 38 Abs. 2 Satz 3 und § 26 Abs. 5 Satz 4 
BDSG a. F. (Einsichtsrecht in das Register der Aufsichtsbe- 
hörden und des Bundesbeauftragten für den Datenschutz), 
die in der Praxis kaum eine Rolle gespielt haben, ist inso- 
weit nicht von einer wesentlichen Mehrbelastung der be- 
trieblichen bzw. behördlichen Datenschutzbeauftragten aus- 
zugehen. Die Auskunft kann im Übrigen in pauschalierter 
Form erfolgen. 

Die obligatorische Bestellung von Datenschutzbeauftragten 
im öffentlichen Bereich wird aufgrund der besonderen 
Struktur des Bundesministeriums der Verteidigung und sei- 
nes Geschäftsbereichs dort zu zusätzlichem Personalauf- 
wand und somit zu erhöhten Kosten führen. Da - unabhän- 
gig von der Anzahl der Arbeitnehmer - künftig betriebliche 
Datenschutzbeauftragte zu bestellen sind, wenn nicht öf- 
fentliche Stellen zur Durchführung einer Vorabkontrolle 
verpflichtet sind oder personenbezogene Daten geschäfts- 
mäßig zum Zweck der Übermittlung oder der anonymisier- 
ten Übermittlung erheben, verarbeiten oder nutzen (§ 4f 
Abs. 1 Satz 6), kann es auch in diesem Bereich zu Mehrkos- 
ten kommen. 

2. Wesentliche Inhalte des Gesetzentwnrfs 

2. 1 Grundzüge der Novellierung 

Der Anwendungsbereich der Richtlinie ist beschränkt auf 
den Geltungsbereich des EG-Vertrages. Die Datenverarbei- 
tung von Polizei- und Nachrichtendiensten ist daher von der 
Richtlinie nicht unmittelbar berührt. Allerdings erscheint es 
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nicht sinnvoll, eine lediglich auf den Geltungsbereich des 
EG-Vertrages beschränkte Anpassung des Bundesdaten- 
schutzgesetzes vorzunehmen. Sonst würden unterschiedli- 
che Regelungen gelten, je nachdem, ob Gemeinschaftsrecht 
oder ausschließlich deutsches Recht auszuführen und anzu- 
wenden ist. Dies wäre mit dem Querschnittscharakter und 
der subsidiären Geltung des Bundesdatenschutzgesetzes 
nicht vereinbar. 

Die Transparenz der Datenverarbeitung für den Bürger 
wurde u. a. erhöht durch die Ausdehnung der Benachrichti- 
gungspflicht des Betroffenen von der Speicherung/Weiter- 
gabe seiner Daten auch auf den öffentlichen Bereich, durch 
eine grundsätzliche Informationspflicht des Betroffenen bei 
der Erhebung seiner Daten auch im nicht öffentlichen Be- 
reich und eine geringfügige Erweiterung des Auskunfts- 
rechts. Ebenfalls der Bürgerfreundflchkeit dient die Vor- 
schrift des § 6a, wonach belastende Entscheidungen, die 
aufgrund von Persönlichkeitsprofllen ohne zusätzliche 
Überprüfung durch einen Menschen erfolgen, grundsätzlich 
verboten sind. 

Die Richtlinie sieht eine Reihe von Restriktionen im Zu- 
sammenhang mit der Verarbeitung sog. sensitiver Daten 
vor, die den Bürger in diesem empflndlichen Bereich beson- 
ders schützen sollen. Die Richtlinie versteht unter sensitiven 
Daten solche, aus denen die rassische und ethnische Her- 
kunft, politische Meinungen, religiöse oder philosophische 
Überzeugungen oder die Gewerkschaftszugehörigkeit her- 
vorgehen, sowie von Daten über Gesundheit oder Sexualle- 
ben. In Umsetzung der Vorgaben der Richtlinie unterliegt 
nun der Umgang mit diesen Daten besonderen Einschrän- 
kungen sowohl im öffentlichen als auch im nicht öffentli- 
chen Bereich. 

Wichtig unter dem Aspekt der Erhaltung der unternehmeri- 
schen Freiheit und möglichst uneingeschränkter wirtschaft- 
licher Betätigung ist die Neuregelung der Übermittlung per- 
sonenbezogener Daten in Drittstaaten. Übermittlungen per- 
sonenbezogener Daten dürfen grundsätzlich nur bei Vorhe- 
gen eines angemessenen Datenschutzniveaus im Drittstaat 
vorgenommen werden. Durch einen breiten Ausnahmekata- 
log wird aber sichergestellt, dass der Wirtschaftsverkehr mit 
Drittstaaten nicht unangemessen beeinträchtigt wird. 

Der Entbürokratisierung dient die Neuregelung der Melde- 
pflicht automatisierter Verarbeitungen. Diese ist dahin ge- 
hend modiflziert worden, dass die in der Richtlinie vorgese- 
hene Möglichkeit der Einschränkung der allgemeinen Mel- 
depflicht weitestgehend genutzt wurde. So entfällt nach der 
Regelung des § 4d Abs. 2 die Meldepflicht, wenn die spei- 
chernde Stelle einen internen Datenschutzbeauftragten be- 
steht hat und im Falle des Vorliegens einer weniger beein- 
trächtigenden Verarbeitung (§ 4d Abs. 3). Da durch § 4f 
Abs. 1 der behördliche Datenschutzbeauftragte als obligato- 
rische Institution eingeführt wird, kann die Meldepflicht im 
öffentlichen Bereich vollständig entfallen. 

Die Wahrung des sog. Medienprivilegs wird in weitem Um- 
fang gewährleistet. Die durch die Richtlinie erforderlich ge- 
wordene Erweiterung des Anwendungsbereichs für Unter- 
nehmen der Presse wurde restriktiv vorgenommen. 


2.2 Die wesentlichen Änderungen aufgrund der 
Richtlinie im Einzelnen 

- Der Anwendungsbereich des Bundesdatenschutzgeset- 
zes war durch die Vorschrift des § 1 Abs. 5 zu ergänzen: 
Diese betrifft zum einen die Datenverarbeitung inner- 
halb der Europäischen Union. Das Bundesdatenschutz- 
gesetz kommt hier nicht zur Anwendung, wenn die Ver- 
arbeitung personenbezogener Daten durch eine verant- 
wortliche Stelle eines anderen Mitgliedstaates der Euro- 
päischen Union im Inland ausgeführt wird. Als 
Ausnahme dieser Regelung flndet das Bundesdaten- 
schutzgesetz aber Anwendung, sofern die verantwortli- 
che Stelle eine Niederlassung im Inland unterhält. Zum 
anderen soll mit der Vorschrift verhindert werden, dass 
ein möglicherweise geringerer Datenschutzstandard als 
der in den Mitgliedstaaten der Europäischen Union vor- 
handene in den Fällen zur Geltung kommt, in denen Da- 
tenerhebungen, -Verarbeitungen oder -nutzungen inner- 
halb der Europäischen Union durch außerhalb der Euro- 
päischen Union belegene speichernde Stellen vorgenom- 
men werden. 

Darüber hinaus waren die Kriterien für den sachlichen 
Anwendungsbereich des Bundesdatenschutzgesetzes in- 
sofern in Übereinstimmung mit Artikel 3 Abs. 1 der 
Richtlinie zu bringen, als es bei automatisierten Verar- 
beitungen nicht mehr auf den Dateibegriff ankommt. 
Das Kriterium der Datei ist nur noch von Bedeutung, so- 
weit es um die nicht automatisierte Verarbeitung perso- 
nenbezogener Daten geht. 

- Da die Richtlinie die Erhebung personenbezogener Da- 
ten als Teil der Verarbeitung begreift, das Bundesdaten- 
schutzgesetz bisher aber nur die Erhebung für den öf- 
fentlichen Bereich regelt, bedurfte es der Einführung ei- 
nes Gesetzesvorbehaltes auch für die Erhebung im nicht 
öffentlichen Bereich. 

- Im Gegensatz zur bisherigen Rechtslage kommt dem Be- 
griff des „Empfängers“ nunmehr neben dem des „Drit- 
ten“ eigenständige Bedeutung zu. Er war daher in § 3 
Abs. 8 zu deflnieren, seine bisherige Verwendung im 
Bundesdatenschutzgesetz anzupassen. 

- Die Übermittlung personenbezogener Daten in Drittstaa- 
ten wurde in § 4b und § 4c neu geregelt. Diese Vor- 
schriften sollen zum einen ein koordiniertes Verhalten 
der Mitgliedstaaten beim Transfer in Drittstaaten sicher- 
stellen und zum anderen - durch einen breiten Katalog 
von Ausnahmebestimmungen - dafür Sorge tragen, dass 
der Wirtschaftsverkehr mit Drittstaaten nicht unange- 
messen beeinträchtigt wird. 

Da nach Umsetzung der Richtlinie durch die Mitglied- 
Staaten der Europäischen Union innerhalb des Anwen- 
dungsbereichs der Richtlinie von einem angemessenen 
Datenschutzniveau innerhalb der Europäischen Union 
auszugehen ist, gehen insoweit die §§ 15, 16 und 28 ff. 

- In den neu eingefügten §§ 4d und 4e ist die Meldepflicht 
für automatisierte Verarbeitungen öffentlicher und nicht 
öffentlicher Stellen geregelt. 

Nach der Regelung des § 4d Abs. 2 und 3 entfällt die 
Meldepflicht, wenn die verantwortliche Stelle einen Da- 
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tenschutzbeauftragten bestellt hat oder eine weniger be- 
einträchtigende Verarbeitung vorliegt. Damit kann die 
Meldepflicht im öffentlichen Bereich vollständig entfal- 
len, da durch § 4f Abs. 1 der behördliche Datenschutz- 
beauftragte als obligatorische Institution eingeführt 
wird. Neu ist die sog. Vorabkontrolle, d. h. bestimmte 
automatisierte Verarbeitungen werden vor Inbetrieb- 
nahme einer Prüfung durch den Datenschutzbeauftragten 
unterzogen. 

- Die neue Vorschrift des § 6a beinhaltet die Regelung der 
sog. automatisierten Einzelentscheidung. Durch die Vor- 
schrift soll verhindert werden, dass Entscheidungen aus- 
schließlich aufgrund von automatisiert erstellten Persön- 
lichkeitsprofllen getroffen werden, ohne dass eine Per- 
son den Sachverhalt erneut überprüft hat. 

- Die Regelungen über die Erhebung und zweckändernde 
Verarbeitung personenbezogener Daten waren sowohl 
im öffentlichen als auch im nicht öffentlichen Bereich 
um Sonderregelungen hinsichtlich sog. sensitiver Daten 
zu ergänzen (§§ 13, 14 Abs. 5, § 28 Abs. 6 und 7, § 29 
Abs. 5, § 30 Abs. 5). Entsprechendes gilt für die Voraus- 
setzungen der Einwilligung, § 4a Abs. 3. 

- Der neu geschaffene § 19a führt eine Benachrichtigungs- 
pflicht im öffentlichen Bereich für die Fälle ein, in denen 
Daten nicht beim Betroffenen selbst erhoben werden. 

- Da die Richtlinie keine Beschränkung der Datenschutz- 
kontrolle auf eine Anlasskontrohe vorsieht, wie sie in 
§ 38 Abs. 1 und § 24 Abs. 1 Satz 2 a. F. geregelt war, 
waren die entsprechenden Einschränkungen zu strei- 
chen. 

- Die neue Vorschrift des § 38a beinhaltet Regelungen im 
Zusammenhang mit den sog. Verhaltensregeln zur För- 
derung der ordnungsgemäßen Durchführung daten- 
schutzrechtlicher Regelungen, die u. a. eine Vereinheitli- 
chung derartiger interner Regeln bewirken sollen. Be- 
rufsverbände und ähnliche Vereinigungen erhalten die 
Möglichkeit, von ihnen erarbeitete Verhaltensregeln der 
Aufsichtsbehörde zu unterbreiten. Diese überprüft die 
Vereinbarkeit der Entwürfe mit dem gehenden Daten- 
schutzrecht. 

- Die Vorschrift des § 41, die die Verarbeitung und Nut- 
zung personenbezogener Daten durch Medien regelt, ist 
als Rahmenvorschrift für die Landesgesetzgebung aus- 
gestaltet worden. Der Anwendungsbereich der Daten- 
schutzbestimmungen für die Medien ist auf die Vor- 
schriften über die Haftung (insoweit nur eingeschränkt) 
und die Verhaltensregeln zur Förderung der Durchfüh- 
rung datenschutzrechtlicher Regelungen erweitert wor- 
den. Gleichzeitig war der Anwendungsbereich des sog. 
Medienprivilegs zu erweitern, da nunmehr auch die Ver- 
arbeitung personenbezogener Daten zu literarischen 
Zwecken hiervon erfasst wird. 

- Die Anlage zu § 9 wurde gestrafft, um die Anforderun- 
gen der Richtlinie ergänzt, sprachlich überarbeitet sowie 
den heutigen Gegebenheiten der Informations- und 
Kommunikationstechnik angepasst. 


2.3 Sonstige wesentliche Änderungen des 
Bundesdatenschutzgesetzes 

Neben den unmittelbar durch die Umsetzung der Daten- 
schutzrichtlinie bedingten Änderungen des Bundesdaten- 
schutzgesetzes sieht diese Novelle folgende neue Regelun- 
gen vor: 

Der Grundsatz der Datenvermeidung und -Sparsamkeit 
(§ 3a) besagt, dass sich die Gestaltung und Auswahl von 
Systemen der Datenverarbeitungsanlagen an dem Ziel aus- 
zurichten hat, keine oder so wenig personenbezogene Daten 
wie möglich zu verarbeiten. Die Regelung soll dazu führen, 
dass durch den geziehen Einsatz datenschutzfreundlicher 
Technik die Gefahren für das informationeile Selbstbestim- 
mungsrecht der Betroffenen reduziert werden. 

Die in weiten Bereichen durch öffentliche und nicht öffent- 
liche Stellen bereits durchgeführte Videoüberwachung öf- 
fentlich zugänglicher Räume erhält durch die Vorschrift des 
§ 6b eine gesetzliche Grundlage, die der Wahrung des infor- 
mationeilen Selbstbestimmungsrechts durch einen ange- 
messenen Interessensausgleich Rechnung trägt. 

Die neue Regelung des Datenschutzaudits (§ 9a) verfolgt 
das Ziel, datenschutzfreundliche Produkte auf dem Markt 
zu fordern, indem deren Datenschutzkonzept geprüft und 
bewertet wird. 

Bereits bei der Novellierung des BDSG 1990 waren zuvor 
bestehende Unsicherheiten in der Rechtsanwendungspraxis 
hinsichtlich personenbezogener Daten, die einem Berufs- 
oder besonderen Amtsgeheimnis unterliegen, durch Klar- 
stellung im Rahmen der damaligen Neufassung von § 24 
Abs. 1 und 2 beseitigt worden. Keine ausdrückliche Rege- 
lung bestand für die Kontrolle des Bundesbeauftragten für 
den Datenschutz hinsichtlich der von öffentlichen Stellen 
des Bundes erlangten personenbezogenen Daten über den 
Inhalt und die näheren Umstände des Brief-, Post- und Fern- 
meldeverkehrs. Vielmehr verwehrte § 24 Abs. 2 Satz 3 a. R, 
der den Inhalt des Post- und Femmeldeverkehrs von der 
Kontrolle ausnahm, es dem Bundesbeauftragten für den Da- 
tenschutz, die Verwendung der durch Eingriffe in das Brief-, 
Post- und Femmeldegeheimnis erlangten Daten zu kontrol- 
lieren. Dies soll mit der neuen Regelung des § 24 Abs. 2 er- 
möglicht werden. 

Der neu eingefügte § 29 Abs. 3 beinhaltet eine Regelung, mit 
der F olgendes erreicht wird: In den F ällen, in denen es sich bei 
Herausgebern elektronischer oder gedruckter Verzeichnisse 
nicht um Diensteanbieter im Sinne der Telekommunikations- 
dienstunternehmen-Datenschutzverordnung (TDSV) han- 
delt, bestand bisher nur unzureichender Schutz der Betroffe- 
nen vor nicht gewollten Eintragungen in diese Verzeichnisse. 
Diese Regelungslücke schließt der neue § 29 Abs. 3. 

2.4 Ausblick 

Der vorliegende Gesetzentwurf sieht Änderungen des Bun- 
desdatenschutzgesetzes überwiegend in dem Umfang vor, 
den die Richtlinie vorgibt. Noch in dieser Legislaturperiode 
soll eine umfassende Neukonzeption des BDSG vorbereitet 
werden, die das Gesetz modernisiert, vereinfacht und seine 
Lesbarkeit erhöht, sowie geprüft werden, inwieweit die in 
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der Richtlinie für Zwecke der Forschung und der Statistik 
eingeräumten Spielräume genutzt werden sollen. 

Ferner soll die Beratungs- und Servicefunktion der Daten- 
schutzbeauftragten ausgebaut und gestärkt werden. Ziel die- 
ser Neufassung ist die Verbesserung und Vereinheitlichung 
des Schutzes der Betroffenen im öffentlichen und im priva- 
ten Bereich. 

Darüber hinaus wird das gesamte bereichsspezifische Da- 
tenschutzrecht daraufhin zu überprüfen sein, ob über die be- 
reits vorgenommenen Änderungen hinaus weitere Anpas- 
sungen an die Richtlinie geboten sind, und zwar auch, so- 
weit keine europarechtliche Anpassungspflicht besteht. Nur 
so kann vermieden werden, dass es auf Dauer zweierlei Da- 
tenschutzrecht mit unterschiedlich hohem Schutzniveau 
gibt. 

ln diesem Zusammenhang wird ein Arbeitnehmerdaten- 
schutzgesetz und ein Informationszugangsgesetz zu kodifi- 
zieren sein. 


B. Im Einzelnen 

Zu Nummer 1 (Inhaltsübersicht) 

Die Inhaltsübersicht stand bei der Verabschiedung des Bun- 
desdatenschutzgesetzes vor der Eingangsformel und nahm 
damit nicht am Gesetzesrang teil. Um dem Anwender die 
Übersicht und die Orientierung nicht nur für den Zeitpunkt 
des Inkrafttretens des Gesetzes, sondern für seine gesamte 
Geltungsdauer zu erleichtern, wird die Inhaltsübersicht in 
das Gesetz aufgenommen. 

Zu Nummer 2 (Überschrift vor § 1) 

Der erste Abschnitt enthält nunmehr vermehrt Vorschriften, 
die sowohl für den öffentlichen als auch für den nicht öf- 
fentlichen Bereich gelten. Die Überschrift war dementspre- 
chend zu erweitern. 

Zu Nummer 3 (§ 1) 

Zu Absatz 2 Nr. 3 

Während der bisherige Absatz 2 Nr. 3 positiv die Tätigkei- 
ten benannte, bei deren Vorliegen das Bundesdatenschutz- 
gesetz zur Anwendung gelangte, schließt die Richtlinie in 
Artikel 3 Abs. 2 zweiter Spiegelstrich generell (zum An- 
wendungsbereich der Richtlinie, insbesondere zum Dateibe- 
griff, vgl. die Begründung zu § 3) nur solche Datenverarbei- 
tungen von ihrem Anwendungsbereich aus, die von einer 
„natürlichen Person zur Ausübung ausschließlich persönli- 
cher oder familiärer Tätigkeiten vorgenommen werden“. 
Alle übrigen Datenverarbeitungen durch nicht öffentliche 
Stellen werden daher - soweit es sich um automatisierte 
Verarbeitungen oder um nicht automatisierte Dateien han- 
delt (vgl. hierzu die Begründung zu § 3 Abs. 2) - vom An- 
wendungsbereich der Richtlinie erfasst. Die Vorschrift des 
Absatzes 2 Nr. 3 war dementsprechend zu ändern. 


Zu Absatz 3 

Absatz 3 war in Umsetzung von Artikel 3 Abs. 1 der Richt- 
linie aufzuheben, da die Richtlinie eine entsprechende Ein- 
schränkung des Anwendungsbereichs nicht vorsieht. 

Zu Absatz 5 

Artikel 4 der Richtlinie geht hinsichtlich des Anwendungs- 
bereichs nationalen Datenschutzrechts im grenzüberschrei- 
tenden Datenverkehr - anders als das derzeit geltende Bun- 
desdatenschutzgesetz - im Grundsatz nicht vom Territorial- 
prinzip, sondern vom Sitzprinzip aus. Danach richtet sich 
das insoweit anzuwendende nationale Recht nicht nach dem 
Ort der Verarbeitung, sondern nach dem Sitz der verant- 
wortlichen Stelle. 

Als Ausnahme hiervon gilt aber wieder das Territorialprin- 
zip, wenn die verantwortliche Stelle aus einem Mitglied- 
staat der Europäischen Union eine Niederlassung in einem 
anderen Mitgliedstaat der Europäischen Union unterhält. 
Für die Erhebung, Verarbeitung oder Nutzung personenbe- 
zogener Daten durch diese Niederlassung gilt dann das nati- 
onale Datenschutzrecht des Landes, in dem sie belegen ist. 

Diese Regelung der Richtlinie stellt einen Kompromiss dar 
zwischen den Belangen der Wirtschaft einerseits: Diese soll 
ihr gewohntes nationales Datenschutzrecht „exportieren“ 
dürfen und sich nicht durch unbekannte Datenschutzvor- 
schriften in ihrer unternehmerischen Tätigkeit einge- 
schränkt sehen müssen. Andererseits wird dem Gesichts- 
punkt der Rechtssicherheit insbesondere im Zusammenhang 
mit den Schutzrechten der von derartigen Datenverarbeitun- 
gen Betroffenen Rechnung getragen. Dieser zweite Ge- 
sichtspunkt führte zur Ausnahmeregelung für Niederlassun- 
gen. Absatz 5 Satz 1 setzt daher insoweit Artikel 4 Abs. 1 
Buchstabe a der Richtlinie um. 

Ausweislich des Erwägungsgrundes 19 der Richtlinie „setzt 
eine Niederlassung im Hoheitsgebiet eines Mitgliedstaats 
die effektive und tatsächliche Ausübung einer Tätigkeit mit- 
tels einer festen Einrichtung voraus. Die Rechtsform einer 
solchen Niederlassung, die eine Agentur oder eine Zweig- 
stelle sein kann, ist in dieser Hinsicht nicht maßgeblich.“ 
Zur Erläuterung des Begriffs Niederlassung kann auf die 
Definition der Niederlassung in § 42 Abs. 2 Gewerbeord- 
nung verwiesen werden. Dieser zufolge ist eine Niederlas- 
sung vorhanden, wenn der Gewerbetreibende einen zum 
dauernden Gebrauch eingerichteten, ständig oder in regel- 
mäßiger Wiederkehr von ihm benutzten Raum für den Be- 
trieb seines Gewerbes besitzt. 

Zur Ersetzung des Begriffs „speichernde Stelle“ durch den 
Begriff der „verantwortlichen Stelle“ wird auf die Begrün- 
dung zu § 3 Abs. 7 verwiesen. 

Artikel 4 Abs. 1 Buchstabe c der Richtlinie will - vom 
Grundsatz des Sitzprinzips ausgehend - verhindern, dass 
ein möglicherweise geringerer Datenschutzstandard als der 
in den Mitgliedstaaten der Europäischen Union vorhandene 
in den Fällen zur Geltung kommt, in denen Datenerhebun- 
gen, -Verarbeitungen oder -nutzungen innerhalb der Europä- 
ischen Union durch außerhalb der Europäischen Union be- 
legene speichernde Stellen vorgenommen werden. Die 
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Richtlinie erklärt daher für diese Fälle - als Ausnahme - das 
Territorialprinzip für anwendbar. 

Mit Blick auf das im Bundesdatenschutzgesetz im Übrigen 
geltende Territorialprinzip ist der Artikel 4 Abs. 1 Buch- 
stabe c der Richtlinie umsetzende Absatz 5 Satz 2 daher le- 
diglich deklaratorisch. Er ist gleichwohl notwendig als An- 
knüpfungspunkt zum einen für die Artikel 4 Abs. 2 der 
Richtlinie umsetzende Verpflichtung der speichernden 
Stelle zur Benennung eines Vertreters in diesen Fällen (Ab- 
satz 5 Satz 3). Zum anderen ist Absatz 5 Satz 2 erforderlich 
für die Umsetzung der aus deutscher Sicht ausnahmsweisen 
Geltung des Sitzprinzips in den Fällen, in denen Datenträger 
nur zum Zweck der Durchführ durch das Inland eingesetzt 
werden (Absatz 5 Satz 4). 

Die Verpflichtung zur Benennung eines Vertreters will 
Transparenz in den Fällen sicherstellen, in denen die spei- 
chernde Stelle in einem Drittstaat belegen ist. Sowohl Be- 
troffene als auch Aufsichtsbehörden sollen einen geeigneten 
Ansprechpartner haben, dem insoweit Mittlerfünktion zu- 
kommt. 

Absatz 5 Satz 4 findet Anwendung, wenn Übertragungs- 
wege benutzt werden, ohne dass von den personenbezoge- 
nen Daten Kenntnis genommen wird. 

Von einer Artikel 4 Abs. 1 Buchstabe b der Richtlinie um- 
setzenden Regelung konnte mit Blick auf die einschlägigen 
Regelungen des Völkerrechts abgesehen werden. 

Absatz 5 Satz 5 stellt klar, dass sich das Kontrollrecht der 
Aufsichtsbehörden auch auf die Fälle erstreckt, in denen 
aufgrund der Regelung des Absatzes 5 das Recht anderer 
Mitgliedstaaten der Europäischen Union zur Anwendung 
gelangt. 

Zu Nummer 4 (§ 3) 

Zu Absatz 2 

Während für das BDSG 1977 noch der Dateibezug für die 
Anwendbarkeit des Gesetzes maßgebend war, hat das 
BDSG 1990 grundsätzlich jedes Speichermedium einbezo- 
gen und lediglich im nicht öffentlichen Bereich das Erfor- 
dernis des Dateibezugs beibehalten (§ 1 Abs. 2 Nr. 3 a. F.). 

Die Richtlinie wiederum stellt - insofern vergleichbar dem 
BDSG 1977 - im Rahmen der Bestimmung des Anwen- 
dungsbereichs teilweise auf das Speichermedium „Datei“ 
ab. Kriterien für den sachlichen Anwendungsbereich des 
Bundesdatenschutzgesetzes sind nach Artikel 3 Abs. 1 der 
Richtlinie nunmehr die automatisierte Erhebung, Verarbei- 
tung und Nutzung personenbezogener Daten sowie die nicht 
automatisierte Erhebung, Verarbeitung und Nutzung perso- 
nenbezogener Daten, die in einer Datei gespeichert sind 
oder gespeichert werden sollen. 

Das Kriterium der Datei ist für die Frage der Eröffnung des 
sachlichen Anwendungsbereichs des Bundesdatenschutz- 
gesetzes nur noch von Bedeutung, soweit es um die nicht 
automatisierte Erhebung, Verarbeitung und Nutzung perso- 
nenbezogener Daten geht. Diesem Ansatz folgt die Defini- 
tion der (nicht automatisierten) Datei in Satz 2. Findet hin- 
gegen eine Erhebung, Verarbeitung oder Nutzung personen- 
bezogener Daten in einer automatisierten Datei statt, ist für 


die Anwendbarkeit des Bundesdatenschutzgesetzes nicht 
das Merkmal der automatisierten Datei von Relevanz, son- 
dern nur und ausschließlich das der automatisierten Erhe- 
bung, Verarbeitung oder Nutzung. 

Dementsprechend war die Definition der automatisierten 
Datei in Absatz 2 Nr. 1 a. F. in Satz 1 zu ersetzen durch eine 
Definition der automatisierten Verarbeitung. 

In Artikel 2 Buchstabe c definiert die Richtlinie „Datei“ als 
,jede strukturierte Sammlung personenbezogener Daten, 
die nach bestimmten Kriterien zugänglich sind (...)“. Im Er- 
wägungsgrund 27 der Richtlinie wird hierzu ausgeführt, 
dass „insbesondere der Inhalt einer Datei nach bestimmten 
personenbezogenen Kriterien strukturiert sein muss, die ei- 
nen leichten Zugriff auf die Daten ermöglichen. Nach der 
Definition in Artikel 2 Buchstabe c können die Mitglied- 
staaten die Kriterien zur Bestimmung der Elemente einer 
strukturierten Sammlung personenbezogener Daten sowie 
die verschiedenen Kriterien zur Regelung des Zugriffs zu 
einer solchen Sammlung festlegen.“ Der materielle Ände- 
rungsbedarf im Rahmen der Definition des Absatzes 2 Satz 
2 war daher beschränkt auf die Verdeutlichung des Merk- 
mals „zugänglich“ durch dessen ausdrückliche Aufnahme in 
die Definition anstelle der bisherigen Definitionsmerkmale 
„geordnet“ und „umgeordnet“, die der Zugänglichmachung 
dienen. 

Auf die Regelung des Absatzes 2 Satz 2 a. F. konnte aus 
folgenden Gründen verzichtet werden: Hinsichtlich der 
Einbeziehung von Akten in den Anwendungsbereich des 
Bundesdatenschutzgesetzes neuer Fassung gilt grundsätz- 
lich, dass diese immer dann der Richtlinie und somit auch 
dem Bundesdatenschutzgesetz unterfallen, wenn sie unter 
den Begriff der nicht automatisierten Datei subsumierbar 
sind. Relevanz erlangt dies im nicht öffentlichen Bereich, 
da hier Akten bisher weitgehend vom Anwendungsbereich 
ausgenommen waren. Maßgeblich ist insoweit Erwägungs- 
grund 27 der Richtlinie, demzufolge die Richtlinie „bei 
manuellen Verarbeitungen lediglich Dateien erfasst, nicht 
jedoch unstrukturierte Akten. (...) Akten und Aktensamm- 
lungen sowie ihre Deckblätter, die nicht nach bestimmten 
Kriterien strukturierbar sind, fallen unter keinen Umstän- 
den unter den Anwendungsbereich dieser Richtlinie.“ An- 
lässlich der Annahme der Richtlinie ist von Rat und Kom- 
mission folgende Erklärung unter Nummer 7 zu Protokoll 
gegeben worden: „Der Rat und die Kommission bestäti- 
gen, dass sich die Richtlinie nach der derzeitigen Defini- 
tion in Artikel 2 Buchstabe c nur auf Dateien erstreckt, 
nicht aber auf Akten; die Kriterien, nach denen sich die 
Bestandteile einer strukturierten Sammlung personenbezo- 
gener Daten bestimmen lassen, sowie die Kriterien, nach 
denen diese Sammlungen zugänglich sind, können von je- 
dem einzelnen Mitgliedstaat festgelegt werden; Akten und 
Aktensammlungen und die Deckblätter dazu können nicht 
unter die unter dem ersten Gedankenstrich genannte Defi- 
nition fallen, wenn ihr Inhalt nicht in der Art einer Datei 
strukturiert ist.“ 

Absatz 2 Satz 2 war dementsprechend aufzuheben, da es für 
die Frage der Einbeziehung von Akten nicht mehr auf das 
Merkmal der automatisierten Auswertbarkeit ankommt. 
Ausschlaggebend ist anstelle dessen, ob eine nicht automa- 
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tisierte Datei vorliegt; eine manuelle Auswertbarkeit genügt 
insoweit. 

Zu Absatz 3 

Der bislang in Absatz 4 geregelte Begriff des Erhebens fin- 
det sich nunmehr in Absatz 3. Da dem Begriff der Akte 
keine eigenständige Bedeutung mehr zukommt, war die De- 
finition der Akte in Absatz 3 Satz 1 a. F. aufzuheben; hin- 
sichtlich der Aufhebung von Absatz 3 Satz 1 zweiter Halb- 
satz a. F. gilt, dass nach Erwägungsgrund 14 der Richtlinie 
grundsätzlich personenbezogene Ton- und Bilddaten dem 
Anwendungsbereich der Richtlinie unterfallen. Erwägungs- 
grund 15 der Richtlinie führt hierzu aus, dass „die Verarbei- 
tung solcher Daten von der Richtlinie nur erfasst wird, wenn 
sie automatisiert erfolgt oder wenn die Daten, auf die sich 
die Verarbeitung bezieht, in Dateien enthalten oder für sol- 
che bestimmt sind, die nach bestimmten personenbezoge- 
nen Kriterien strukturiert sind, um einen leichten Zugriff zu 
ermöglichen“. Maßgeblich für die Einbeziehung von Bild- 
und Tondaten ist daher die Möglichkeit der Subsumtion ent- 
weder unter den Begriff der automatisierten Verarbeitung 
im Sinne des Absatzes 2 Nr. 1 oder den der nicht automati- 
sierten Datei im Sinne des Absatzes 2 Nr. 2. 

Zu Absatz 4 Satz 2 Nr. 3 

Der Begriff der Übermittlung beinhaltet als notwendige 
Komponenten die Bekanntgabe, die speichernde Stelle als 
bekannt gebende Instanz sowie den Dritten im Sinne des 
Absatzes 8 als Adressaten. Der Begriff des Empfängers 
wurde in Absatz 5 Nr. 3 a. F. synonym neben dem des Drit- 
ten gebraucht. Eigenständige Bedeutung kam ihm nicht zu. 
Da in Umsetzung von Artikel 2 Buchstabe g der Richtlinie 
der weitergehende Begriff des Empfängers nunmehr in Ab- 
satz 8 Satz 1 definiert wird, war er in Absatz 4 Nr. 3 n. F. zur 
Vermeidung von Missverständnissen zu streichen bzw. 
durch den des Dritten zu ersetzen. 

Zu Absatz 6a 

Neu aufzunehmen war eine Definition des Begriffs des 
Pseudonymisierens, da in § 3a Satz 2 erstmals der vorran- 
gige Einsatz (anonymer und) pseudonymer Formen der Da- 
tenverarbeitung vorgesehen ist. 

Zu Absatz 7 

ln Artikel 2 Buchstabe d Satz 1 der Richtlinie wird der Be- 
griff des „für die Verarbeitung Verantwortlichen“ definiert 
als „die natürliche oder juristische Person, Behörde, Ein- 
richtung oder jede andere Stelle, die allein oder gemeinsam 
mit anderen über die Zwecke und Mittel der Verarbeitung 
von personenbezogenen Daten entscheidet“, ln Anpassung 
an diese Terminologie der Richtlinie wurde in Absatz 7 die 
Definition der speichernden Stelle durch die der verantwort- 
lichen Stelle ersetzt. 

Zu Absatz 8 

Absatz 8 Satz 1 setzt Artikel 2 Buchstabe g der Richtlinie 
um. Der Begriff des Empfängers ist sehr weit gefasst. Er 
umfasst neben dem Dritten, dem Betroffenen und denjeni- 
gen Personen und Stellen, die im Geltungsbereich des Bun- 


desdatenschutzgesetzes personenbezogene Daten im Auf- 
trag verarbeiten oder nutzen, auch die verschiedenen Orga- 
nisationseinheiten innerhalb einer speichernden Stelle. Die 
negative Definition des Begriffs des Dritten in § 3 Abs. 9 
Satz 2 a. F. war in Umsetzung von Artikel 1 Abs. 2 der 
Richtlinie um die Personen und Stellen zu erweitern, die im 
Geltungsbereich der Rechtsvorschriften zum Schutz perso- 
nenbezogener Daten der Mitgliedstaaten der Europäischen 
Union personenbezogene Daten im Auftrag verarbeiten 
oder nutzen. Die Wörter „Geltungsbereich dieses Gesetzes“ 
wurden aus Gründen der Vereinheitlichung der Gesetzes- 
sprache nach Vollendung der Deutschen Einheit durch das 
Wort „Inland“ ersetzt. 

Zu Absatz 9 

Absatz 9 definiert die in Artikel 8 Abs. 1 der Richtlinie be- 
zeichneten besonderen Kategorien personenbezogener Da- 
ten. 

Zu Nummer 5 (§ 3a) 

Der Grundsatz der Datenvermeidung und -Sparsamkeit wird 
erstmalig in das allgemeine Datenschutzrecht aufgenom- 
men. Die Vorschrift konkretisiert den Grundsatz der Ver- 
hältnismäßigkeit für die technische Gestaltung der Daten- 
verarbeitungssysteme. Eine vergleichbare Regelung findet 
sich im bereichsspezifischen Teledienstedatenschutzgesetz 
in § 3 Abs. 4. Wie dort, soll durch die Einführung des 
Grundsatzes bereits durch die Gestaltung der Systemstruk- 
turen die Erhebung, Verarbeitung oder Nutzung personen- 
bezogener Daten soweit wie möglich vermieden und da- 
durch Gefahren für das informationeile Selbstbestim- 
mungsrecht des Betroffenen von vornherein minimiert wer- 
den. Dies bedeutet nicht, dass personenbezogene Daten, die 
für die Aufgabenerfüllung erforderlich sind, nicht erhoben, 
verarbeitet oder genutzt werden dürfen, wie z. B. beim 
Kraftfahrtbundesamt das Zentrale Verkehrsinformations- 
system (ZEVIS), beim Bundesverwaltungsamt das Auslän- 
derzentralregister (AZR), beim Bundeskriminalamt das po- 
lizeiliche Informationssystem (INPOL) sowie die bei den 
Nachrichtendiensten des Bundes geführten Informations- 
systeme. 

Satz 2 beinhaltet den Vorrang anonymer und pseudonymer 
Formen der Datenverarbeitung als eine von mehreren Mög- 
lichkeiten der Ausgestaltung des Systemdatenschutzes als 
Mittel, dem Grundsatz der Erforderlichkeit Rechnung zu 
tragen. Hierbei geht es in erster Linie darum - soweit tech- 
nisch möglich und aufgrund der vorgegebenen funktionalen 
Zusammenhänge sachgerecht - das Mitführen der vollen 
Identität Betroffener während der eigentlichen Datenverar- 
beitungsvorgänge zu reduzieren. 

Zu Nummer 6 (§ 4) 

In Absatz 1 wurde der Begriff „Erhebung“ aufgenommen, 
um den Anforderungen der Richtlinie insoweit Rechnung zu 
tragen, als auch die Erhebung personenbezogener Daten im 
privaten Sektor dem Vorbehalt des Gesetzes zu unterstellen 
ist. Dies folgt daraus, dass in Artikel 2 Buchstabe b der 
Richtlinie die Erhebung als Unterfall der Verarbeitung be- 
trachtet und die Verarbeitung nach Artikel 7 nur zulässig ist. 
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wenn der Betroffene eingewilligt hat oder die dort aufge- 
führten, in das nationale Recht zu übertragenden Vorausset- 
zungen vorliegen. Die übrigen Änderungen des Absatzes 1 
stellen sprachliche Präzisierungen dar. 

Absatz 2 greift den Rechtsgedanken von § 13 Abs. 2 a. F. 
auf, erweitert ihn aber in Nummer 2a für den nicht öffentli- 
chen Bereich. 

Absatz 3 modifiziert § 13 Abs. 3 a. F. nach den Vorausset- 
zungen des Artikels 10 der Richtlinie. 

Absatz 4 entspricht § 13 Abs. 4 a. F. 

Zu Nummer 7 (§§ 4a bis 4g) 

Zu § 4a 

Absatz 1 Satz 1 berücksichtigt die Voraussetzungen des Ar- 
tikels 2 Buchstabe h der Richtlinie, wonach die Einwilli- 
gung ohne Zwang erfolgen muss. Die Anfügung des Wortes 
„vorgesehenen“ vor dem Wort „Zweck“ in Satz 2 dient der 
sprachlichen Verdeutlichung des Gewollten. Die Ersetzung 
der Wörter „Speicherung“ und „Übermittlung“ durch die 
Wörter „Erhebung, Verarbeitung und Nutzung“ dient der 
Vereinheitlichung des Sprachgebrauchs des Bundesdaten- 
schutzgesetzes in Übereinstimmung mit der Terminologie 
der Richtlinie (vgl. hierzu auch die Begründung zu § 4). 
Die Einfügung der Wörter „soweit nach den Umständen 
des Einzelfalles erforderlich“ in Satz 2 dient der Umset- 
zung des Definitionsmerkmals „in Kenntnis der Sachlage“ 
nach Artikel 2 Buchstabe h der Richtlinie. Die übrigen An- 
forderungen der Richtlinie sind bereits im Text des § 4 
Abs. 2 a. F. verwirklicht, der im Folgenden wiedergegeben 
wird. 

Absatz 2 entspricht § 4 Abs. 3 a. F. 

Absatz 3 sieht in Umsetzung des Artikels 8 Abs. 2 Buch- 
stabe a der Richtlinie für die besonderen Arten personenbe- 
zogener Daten (§3 Abs. 9) besondere Voraussetzungen für 
die Wirksamkeit der Einwilligung für jene Daten vor. 

Zu§4b 

Die Vorschrift regelt - anders als § 17 BDSG a. F. - die 
Übermittlung personenbezogener Daten ins Ausland sowohl 
für den öffentlichen als auch den nicht öffentlichen Bereich. 

Absatz 1 beinhaltet eine Privilegierung für Übermittlungen 
öffentlicher und nicht öffentlicher Stellen der Mitglied- 
Staaten der EU innerhalb des Anwendungsbereichs der ers- 
ten Säule des EU-Vertrags. Unabhängig von dieser Privile- 
gierung kann die Übermittlung auch auf eine Einwilligung 
gestützt werden (§ 4 Abs. 1 a. E.). 

Absatz 2 findet Anwendung bei Übermittlungen an EU-Mit- 
gliedstaaten außerhalb der ersten Säule des EU-Vertrags so- 
wie an Drittstaaten. Absatz 2 Satz 2 ergänzt § 17 Abs. 1 a. F. 
um das Erfordernis des angemessenen Datenschutzniveaus 
im Drittstaat sowie bei über- und zwischenstaatlichen Stel- 
len und genügt damit den Anforderungen des Artikels 25 
Abs. 1 der Richtlinie. Damit wird die bislang in § 17 Abs. 2 
a. F. enthaltene Ordre-public-Klausel, die die Zulässigkeit 
grenzüberschreitender Übermittlungen von der Beachtung 
eines datenschutzrechtlichen Mindeststandards abhängig 


machte, überflüssig. Die Angemessenheit des Datenschutz- 
niveaus in einem Drittstaat und das schutzwürdige Interesse 
des Betroffenen sind voneinander unabhängige Tatbestands- 
merkmale. Um dem Gebot der Erforderlichkeit zu genügen, 
war für den öffentlichen Sektor die Bezugnahme auf § 15 
Abs. 1 auszudehnen, § 16 Abs. 1 beizubehalten und die Re- 
gelungen der §§ 28 bis 30 für Datenübermittlungen nicht- 
öffentlicher Stellen zu ergänzen. Satz 3 beinhaltet Ausnah- 
men von Satz 2 für öffentliche Stellen des Bundes. 

Ferner bestimmt die Vorschrift entsprechend Artikel 25 
Abs. 1 der Richtlinie, dass im Falle einzelstaatlicher Be- 
stimmungen zur Regelung der Übermittlung personenbezo- 
gener Daten in Drittstaaten, die mit der Richtlinie vereinbar 
sind, die Vorschriften des § 16 Abs. 1 und der §§ 28 bis 30 
nach Maßgabe dieser Gesetze anzuwenden sind. Entspre- 
chendes gilt für völkerrechtliche Verträge, die im Hinblick 
auf Voraussetzungen und/oder Umfang der Datenübermitt- 
lungen nicht erschöpfend sind und für Vereinbarungen mit 
zwischen- und überstaatlichen Stellen. 

Absatz 3 beinhaltet dem Artikel 25 Abs. 2 der Richtlinie 
entnommene Kriterien zur Bestimmung des angemessenen 
Datenschutzniveaus. 

Absatz 4 übernimmt die Regelung des § 17 Abs. 1 letzter 
Halbsatz a. F., wonach der Betroffene bei Übermittlungen 
nach Maßgabe des § 16 Abs. 1 Nr. 2 zu unterrichten ist. Es 
bestand kein Anlass, diese Regelung auf andere Fallgruppen 
der Übermittlung personenbezogener Daten in Drittstaaten 
auszudehnen, da die Richtlinie keine entsprechende Vor- 
schrift enthält. Insofern verbleibt es bei der Anwendung der 
Regelung des § 19a, der Artikel 11 der Richtlinie umsetzt. 

Absatz 5 entspricht § 17 Abs. 3 a. F. und Absatz 6 entspricht 
§ 17 Abs. 4 a. F. 

Zu § 4 c 

Diese Vorschrift beinhaltet Erleichterungen für die Über- 
mittlung personenbezogener Daten an Drittstaaten sowie an 
über- und zwischenstaatliche Stellen innerhalb des Anwen- 
dungsbereichs der ersten Säule des EU-Vertrags. Keine An- 
wendung findet die Vorschrift auf Übermittlungen von Stel- 
len außerhalb der ersten Säule des EU-Vertrags: Insoweit 
gelangt § 4b Abs. 2 ff. zur Anwendung. 

Die Regelung des Absatzes 1 ergänzt die strikte Regelung 
des § 4b Abs. 2 durch einen weitreichenden Ausnahmekata- 
log. Diese in Anlehnung an Artikel 26 der Richtlinie formu- 
lierten Ausnahmen sollen dafür Sorge tragen, dass der Wirt- 
schaftsverkehr mit Drittstaaten nicht unangemessen beein- 
trächtigt wird. Die Ausnahmen basieren auf dem Grundge- 
danken, dass das Schutzbedürfnis des Betroffenen geringer 
ist, wenn er über die Tatsache der Notwendigkeit der Über- 
mittlung seiner Daten in einen Drittstaat informiert ist. Dass 
die in Nummer 1 entsprechend Artikel 26 Abs. 1 Buchstabe 
a der Richtlinie nochmals aufgenommene Einwilligung eine 
Übermittlung zulässt, ergibt sich bereits aus § 4 Abs. 1 a. E. 
(vgl. auch die Begründung zu § 4b Abs. 1). Ferner soll der 
Schutz des Persönlichkeitsrechts zurücktreten, wenn ein 
wichtiges öffentliches Interesse, die Verteidigung von 
Rechtsansprüchen vor Gericht oder der für öffentliche Re- 
gister gehende Publizitätsgrundsatz es erfordern. Hier, wie 
auch im Falle der Unfähigkeit des Betroffenen seinen Wil- 



Deutscher Bundestag - 14. Wahlperiode 


-35- 


Drucksache 14/4329 


len zu bekunden (vgl. Nummer 5), ist Maßstab für die Frage 
der Zulässigkeit und des Umfangs der Übermittlung der 
Grundsatz der Verhältnismäßigkeit, der eine Abwägung der 
widerstreitenden Interessen gebietet. Die Regelung des Ab- 
satzes 1 gilt entsprechend dem Grundsatz von § 1 Abs. 4 
nicht, wenn einer Übermittlung personenbezogener Daten 
spezielle Verwendungsbeschränkungen entgegenstehen. In 
diesem Fall kann trotz Vorliegens der Voraussetzungen des 
Absatzes 1 von einer Übermittlung in den Drittstaat abgese- 
hen werden. Dieser Gedanke findet seinen Niederschlag in 
Artikel 26 Abs. 1 der Richtlinie und in Erwägungsgrund 60. 
Satz 2 entspricht § 17 Abs. 4 a. F. 

Nach Absatz 2 können die Aufsichtsbehörden der Länder 
Ausnahmen erteilen, die über den Katalog des Absatzes 1 
hinausgehen. Kommt die verantwortliche Stelle zu dem Er- 
gebnis, dass ein angemessenes Datenschutzniveau im Dritt- 
staat nicht vorhanden ist, kann sie ein angemessenes 
Schutzniveau auch auf andere Weise garantieren. Geeignete 
Garantien in diesem Sinne können sich insbesondere aus 
Vertragsklauseln oder verbindlichen Unternehmensregelun- 
gen ergeben. Die Einbeziehung verbindlicher Untemeh- 
mensregelungen trägt der Tatsache Rechnung, dass sich die 
Problematik der Übermittlung personenbezogener Daten 
auch in internationalen Unternehmen stellt, wenn einzelne 
ihrer Teiluntemehmen in Ländern ohne angemessenes Da- 
tenschutzniveau angesiedelt sind. Das Verhältnis der Teilun- 
temehmen untereinander ist nicht zwingend durch Vertrags- 
klauseln geprägt. Internationale Konzerne gehen vielmehr 
vermehrt dazu über, für alle Teiluntemehmen unabhängig 
von ihrem Standort verbindliche Regelungen über den Da- 
tenschutz zu erlassen („Codes of conduct“). Sowohl Ver- 
tragsklauseln als auch verbindliche Untemehmensregelun- 
gen sind der Aufsichtsbehörde zur Genehmigung vorzule- 
gen. Im öffentlichen Bereich stellen die verantwortlichen 
Stellen selbst das Vorhegen ausreichender Garantien im 
Sinne des Satzes 1 sicher. 

Absatz 3 setzt Artikel 26 Abs. 3 der Richtlinie um. Die in 
der Richtlinie darüber hinaus vorgesehene Unterrichtungs- 
verpflichtung der Mitgliedstaaten gegenüber der Kommis- 
sion sowie untereinander bedurfte keiner Umsetzung in na- 
tionales Recht. 

Zu§4d 

§ 4d in Verbindung mit § 4e regelt die Meldepflicht für au- 
tomatisierte Verarbeitungen öffentlicher und nicht öffentli- 
cher Stellen. Die Regelungen ersetzen 8 26 Abs. 5 Satz 3 
und § 32 a. F. 

Absatz 1 beinhaltet den Gmndsatz der Meldepflicht auto- 
matisierter Verarbeitungen. 

Die Absätze 2 und 3 beinhalten Ausnahmen von der Melde- 
pflicht. 

Absatz 2 setzt Artikel 18 Abs. 2, zweiter Spiegelstrich der 
Richtlinie um. Damit kann die Meldepflicht im öffentlichen 
Bereich vollständig entfallen, da dort die Bestellung eines 
behördlichen Beauftragten für den Datenschutz obligato- 
risch ist. Dies gilt trotz der in Absatz 4 geregelten Rückaus- 
nahme, da Absatz 4 nur im nicht öffentlichen Bereich An- 
wendung findet (vgl. insoweit die Begründung zu Absatz 4). 
Die Meldepflicht entfällt auch dann, wenn unbeschadet einer 


Verpflichtung zur Bestehung eines Beauftragten für den Da- 
tenschutz dieser freiwillig bestellt wird. 

Absatz 3 setzt Artikel 18 Abs. 2, erster Spiegelstrich der 
Richtlinie um. Hiernach kann die Meldepflicht entfallen, 
wenn für Verarbeitungskategorien, bei denen unter Berück- 
sichtigung der zu verarbeitenden Daten eine Beeinträchti- 
gung der Rechte und Freiheiten der betroffenen Person un- 
wahrscheinlich ist, die Zweckbestimmung der Verarbeitung, 
die Daten oder Kategorien der verarbeiteten Daten, die Ka- 
tegorien der betroffenen Personen, die Empfänger oder Ka- 
tegorien der Empfänger, denen die Daten weitergegeben 
werden und die Dauer der Aufbewahmng festgelegt wer- 
den. Da die Bestellung eines Beauftragten für den Daten- 
schutz nach § 4f Abs. 1 Satz 1 im öffentlichen Bereich obli- 
gatorisch ist, die Meldepflicht im öffentlichen Bereich somit 
bereits nach Absatz 2 entfällt, ist für die Anwendung von 
Absatz 3 im öffentlichen Bereich kein Raum. 

Verarbeitungskategorie im Sinne dieser Vorschrift ist die 
Verarbeitung für eigene Zwecke. Anwendungsbeispiele für 
den Ausnahmetatbestand des Absatzes 3 sind Datenverar- 
beitungen, wie sie typischerweise bei einer Reihe von selb- 
ständig Berufstätigen, etwa Architekten, Ärzten, Apothe- 
kern, Handwerkern, Sanitätshäusem, Optikern, Fitnessstu- 
dios und kleinen Gewerbetreibenden und für die Verarbei- 
tung des Merkmals „Religionszugehörigkeit“ durch den 
Arbeitgeber zwecks Abführung der Kirchensteuer in Be- 
tracht kommen. Dies gilt auch, soweit Daten nach § 3 
Abs. 9 verarbeitet werden. 

Absatz 4 ist die Rückausnahme der Absätze 2 und 3. 
Absatz 4 findet ausweislich seines Wortlauts („geschäfts- 
mäßig“) nur im nicht öffentlichen Bereich Anwendung, die 
Nummern 1 und 2 entsprechen § 32 Abs. 1 Nr. 1 und 2 a. F. 

Absatz 5 bestimmt in Umsetzung von Artikel 20 Abs. 1 der 
Richtlinie die automatisierten Verarbeitungen, die der Vor- 
abkontrolle unterliegen. Erwägungsgrund 53 der Richtlinie 
führt hierzu aus: „Bestimmte Verarbeitungen können jedoch 
aufgrund ihrer Art, ihrer Tragweite oder ihrer Zweckbestim- 
mung - wie beispielsweise derjenigen, betroffene Personen 
von der Inanspruchnahme eines Rechts, einer Leistung oder 
eines Vertrags auszuschließen - oder aufgrund der besonde- 
ren Verwendung einer neuen Technologie besondere Risi- 
ken im Hinblick auf die Rechte und Freiheiten der betroffe- 
nen Personen aufweisen.“ Erwägungsgrund 54 der Richtli- 
nie ergänzt: „Bei allen in der Gesellschaft durchgeführten 
Verarbeitungen sollte die Zahl der Verarbeitungen mit sol- 
chen besonderen Risiken sehr beschränkt sein.“ Die dem 
§ 4d unterfallenden automatisierten Verarbeitungen unter- 
liegen der Vorabkontrolle aber nicht uneingeschränkt, son- 
dern nur insoweit, als sie tatsächlich besondere Risiken für 
die Rechte und Freiheiten der Betroffenen aufweisen. 

Im Gegensatz zur bloßen Meldepflicht stellt die Vorabkon- 
trolle ein Verfahren zur Prüfung der materiellen Zulässigkeit 
der Datenverarbeitung dar. 

Grundlage der insoweit vorzunehmenden Prüfung sind die 
Angaben nach § 4e, insbesondere der Nummern 5, 6 und 9. 

In Anlehnung an Artikel 28 Abs. 1 des Vorschlags einer 
Verordnung des Europäischen Parlaments und des Rates 
zum Schutz natürlicher Personen bei der Verarbeitung per- 



Drucksache 14/4329 


-36- 


Deutscher Bundestag - 14. Wahlperiode 


sonenbezogener Daten durch die Organe und Einrichtungen 
der Gemeinschaft und zum freien Datenverkehr vom 1 . Ok- 
tober 1999 (Bundesratsdrucksache: 546/99) werden in Satz 
2 die Verarbeitung der in § 3 Abs. 9 genannten Datenarten 
sowie Verarbeitungen, die dazu bestimmt sind, die Persön- 
lichkeit der betroffenen Person zu bewerten einschließlich 
ihrer Fähigkeiten, ihrer Leistung oder ihres Verhaltens, als 
Fälle aufgeführt, in denen eine Vorabkontrolle regelmäßig 
durchzuführen ist. Um eine sachgerechte Eingrenzung der 
Fälle der Vorabkontrolle zu erreichen, gilt dies nicht, wenn 
der Datenverarbeitung eine gesetzliche Verpflichtung oder 
eine Einwilligung zugrunde liegt oder diese der Zweckbe- 
stimmung eines Vertragsverhältnisses oder vertragsähnli- 
chen Vertrauensverhältnisses mit dem Betroffenen dient. 

Absatz 6 setzt Artikel 20 Abs. 2 der Richtlinie um. Absatz 6 
Satz 1 bestimmt den Beauftragten für den Datenschutz als 
zuständig für die Vorabkontrolle. Die Regelung der Verfah- 
rensweise des Beauftragten für den Datenschutz entspricht 
der in § 4g Abs. 1 Satz 2. Im Gegensatz zu dieser Regelung 
verpflichtet Satz 3 - der auf Artikel 20 Abs. 2 zweite Alter- 
native der Richtlinie beruht - aber den Beauftragten für den 
Datenschutz zur Einbindung der Aufsichtsbehörde. In die- 
sem Fall gibt die Aufsichtsbehörde im Rahmen ihrer Befug- 
nisse nach § 38 als Ergebnis ihrer Überprüfung eine Stel- 
lungnahme ab. 

Zu § 4e 

Der Katalog des § 4e entspricht in den Nummern 1 bis 3 
dem § 32 Abs. 2 Nr. 1 bis 3 a. F. Gleichzeitig wird hierdurch 
Artikel 19 Abs. 1 Buchstabe a der Richtlinie umgesetzt. 

Nummer 4 setzt Artikel 19 Abs. 1 Buchstabe b der Richtli- 
nie um und entspricht § 18 Abs. 2 Nr. 2 a. F. sowie § 32 
Abs. 2 Nr. 4 a. F. 

Nummer 5 setzt Artikel 19 Abs. 1 Buchstabe c der Richtli- 
nie um und entspricht in seinem ersten Teil § 18 Abs. 2 
Nr. 4 a. F. Dabei soll insbesondere ersichtlich sein, ob es 
sich um Daten nach § 3 Abs. 9 handelt. 

Nummer 6 setzt Artikel 19 Abs. 1 Buchstabe d der Richtli- 
nie um und entspricht dem zweiten Teil von § 18 Abs. 2 
Nr. 5 a. F. sowie dem ersten Teil von § 32 Abs. 3 Nr. 2 a. F. 

Nummer 7 entspricht § 18 Abs. 2 Nr. 6 a. F. 

Durch Nummer 8 wird Artikel 19 Abs. 1 Buchstabe e der 
Richtlinie umgesetzt. 

Nummer 9 verwirklicht die Voraussetzungen von Artikel 1 9 
Abs. 1 Buchstabe f der Richtlinie. 

Satz 2, der der bisherigen Regelung in § 32 Abs. 4 a. F. ent- 
spricht, setzt Artikel 19 Abs. 2 der Richtlinie um. 

Zu§4f 

Die Regelungen des § 4f gelten sowohl für die betrieblichen 
als auch für die behördlichen Beauftragten für den Daten- 
schutz. 

Absatz 1 Satz 1 führt den behördlichen Beauftragten für den 
Datenschutz als obligatorische Institution ein. Satz 2 ent- 
spricht der Regelung des § 36 Abs. 1 Satz 1 a. F. Satz 3 ent- 
spricht der Regelung des § 36 Abs. 1 Satz 2 a. F. Satz 4 be- 
grenzt die Verpflichtung zur Einführung eines betrieblichen 


Beauftragten für den Datenschutz bei automatisierten Da- 
tenverarbeitungen in Anlehnung an § 36 Abs. 1 Satz 1 a. F. 
Die in Satz 5 vorgesehene bereichsübergreifende Bestellung 
eines Beauftragten für den Datenschutz im öffentlichen Be- 
reich betrifft beispielsweise die Behörden des Bundesgrenz- 
schutzes und des Bundesministeriums der Verteidigung. So 
kann etwa bei den Behörden des Bundesgrenzschutzes die 
Bestellung eines Beauftragten für den Datenschutz in einer 
Mittelbehörde ausreichend sein, um auch die Aufgabenbe- 
reiche der nachgeordneten Behörden mit zu betreuen. Im 
Geschäftsbereich des Bundesministeriums der Verteidigung 
werden auch die Aufgaben zur Überwachung der Ausfüh- 
rung dieses Gesetzes in der bestehenden Regelorganisation 
der Streitkräfte und der Wehrverwaltung wahrgenommen. 
Diese Organisationsform bleibt durch die zu bestellenden 
Beauftragten für den Datenschutz unberührt. Sie werden 
entsprechend Satz 5 für mehrere Bereiche bestellt und sind 
auf Zusammenarbeit mit den Aufgabenträgem der Regelor- 
ganisation angewiesen. Nur so kann der unvermeidliche zu- 
sätzliche Personalaufwand in Grenzen gehalten werden. Die 
Regelung des Satzes 6 betrifft nur den nicht öffentlichen 
Bereich: Nach § 4d Abs. 4 sind unter anderem Auskunfteien 
und Adresshandelsuntemehmen sowie Markt- und Mei- 
nungsforschungsinstitute verpflichtet, die Aufnahme ihrer 
Tätigkeit der zuständigen Aufsichtsbehörde mitzuteilen. 
Damit sollen die Kontrollstellen in die Lage versetzt wer- 
den, frühzeitig den besonderen Risiken begegnen zu kön- 
nen, die mit der Erhebung, Nutzung und Verarbeitung per- 
sonenbezogener Daten durch die vorgenannten Stellen ver- 
bunden sind. Aus den gleichen Gründen ist es sachgerecht, 
für Stellen, die regelmäßig eine Vielzahl personenbezogener 
Daten zum Zwecke der Übermittlung oder der anonymisier- 
ten Übermittlung erheben und speichern, unabhängig von 
der Anzahl der Mitarbeiter eine Verpflichtung zur Bestel- 
lung eines betrieblichen Beauftragten für den Datenschutz 
vorzusehen. 

Absatz 2 Satz 1 entspricht § 36 Abs. 2 a. F. Satz 2 sieht die 
Möglichkeit vor, sich anstelle eines internen Beauftragten 
für den Datenschutz der Dienste eines externen Beauftrag- 
ten für den Datenschutz zu bedienen. Satz 3 sieht dies unter 
den dort genannten Voraussetzungen für öffentliche Stellen 
vor. 

Absatz 3 entspricht § 36 Abs. 3 a. F., gilt nun aber auch für 
den behördlichen Beauftragten für den Datenschutz. Leiter 
im Sinne des Absatzes 3 Satz 1 umfasst als Oberbegriff so- 
wohl die in § 36 Abs. 3 Satz 1 a. F. aufgezählten Funktionen 
als auch Leiter von Behörden. Absatz 3 Satz 2 entspricht in- 
haltlich § 36 Abs. 3 Satz 2 a. F. Dies verdeutlicht, dass die 
Weisungsfreiheit nicht absolut, sondern funktionsbezogen 
ausgestaltet ist, um die unabhängige Beratung des Leiters zu 
gewährleisten. Der Erteilung von gezielten Prüfaufträgen 
durch den Leiter steht die Weisungsfreiheit ebenso wenig 
entgegen wie der Wahrnehmung der Dienstaufsicht. 
Absatz 3 Satz 3 entspricht § 36 Abs. 3 Satz 3 a. F. Die Re- 
gelung in Absatz 3 Satz 4 entspricht § 36 Abs. 3 Satz 4 a. F. 
und gilt partiell nunmehr auch für öffentliche Stellen. 

Absatz 4 entspricht § 36 Abs. 4 a. F. 

Absatz 5 erweitert den Anwendungsbereich der Vorschrift 
auf die öffentlichen Stellen, entspricht im Übrigen aber in 
Satz 1 § 36 Abs. 5 a. F. Satz 2 beinhaltet ein Anmfungsrecht 
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des Betroffenen gegenüber dem Beauftragten für den Da- 
tenschutz, vergleichbar der Anrufung des Bundesbeauftrag- 
ten für den Datenschutz nach §21. 

Zu§4g 

Absatz 1 entspricht im Wesentlichen § 37 Abs. 1 a. F. Der 
Begriff „hinzuwirken“ wird der Aufgabe des betrieblichen 
und auch des behördlichen Beauftragten für den Daten- 
schutz am besten gerecht. Satz 2 bezieht als Konsequenz 
des obligatorischen behördlichen Beauftragten für den Da- 
tenschutz den Bundesbeauftragten für den Datenschutz in 
die Regelung ein, setzt aber insoweit das Benehmen mit 
dem Leiter der verantwortlichen Stelle voraus. Satz 3 bein- 
haltet eine Regelung zur Beilegung von Unstimmigkeiten 
zwischen dem behördlichen Beauftragten für den Daten- 
schutz und dem Leiter der verantwortlichen Stelle. Satz 4 
Nr. 2 enthält eine sprachliche Straffung ohne inhaltliche 
Auswirkung. 

Absatz 2 Satz 1 setzt unter Einbeziehung des § 18 Abs. 2 Nr. 7 
a. F. Artikel 18 Abs. 2, zweiter Spiegelstrich, zweiter Unter- 
strich der Richtlinie um. Absatz 2 Satz 2 setzt Artikel 21 
Abs. 3 der Richtlinie für die Fälle um, in denen ein Beauf- 
tragter für den Datenschutz vorhanden ist. Absatz 2 Satz 3 
setzt Artikel 21 Abs. 3 der Richtlinie in den Fällen des § 4f 
Abs. 1 Satz 4 in Verbindung mit § 4d Abs. 3 um, findet also 
Anwendung, wenn eine nicht öffentliche Stelle aufgrund von 
§ 4f Abs. 1 Satz 4 keinen Beauftragten für den Datenschutz 
bestellt hat und auch nicht meldepfiichtig nach § 4dAbs. 3 ist. 
Die Verpflichtung des Beauftragten für den Datenschutz, die 
Angaben auf Antrag jedermann in geeigneter Weise verfüg- 
bar zu machen, ist bei den in § 6 Abs. 2 Satz 4 genannten Be- 
hörden nicht sachgerecht. Die Anwendbarkeit dieser Vor- 
schrift war daher insoweit auszuschließen. 

Zu Nummer 8 (§ 5) 

ln Satz 1 wurde das Wort „erheben“ aufgenommen, um den 
Anforderungen der Richtlinie insoweit Rechnung zu tragen, 
als auch die Erhebung personenbezogener Daten im priva- 
ten Sektor dem Vorbehalt des Gesetzes zu unterstellen ist 
(vgl. hierzu auch die Begründung zu § 4 Abs. 1). 

Zu Nummer 9 (§ 6 ) 

Die Änderungen in Absatz 2 sind Folgeänderungen im Zu- 
sammenhang mit den Änderungen des Dateibegriffs (vgl. 
hierzu die Begründung zu § 3 Abs. 2) sowie der Ersetzung 
des Begriffs der speichernden Stelle durch den der verant- 
wortlichen Stelle (vgl. hierzu die Begründung zu § 3 
Abs. 7). 

Zu Nummer 10 (§§ 6a und 6b) 

Zu § 6a 

§ 6a setzt Artikel 15 der Richtlinie um. Mit dieser Vorschrift 
soll verhindert werden, dass Entscheidungen aufgrund von 
Persönlichkeitsprofilen ergehen, ohne dass der Betroffene 
die Möglichkeit hat, die zugrunde liegenden Angaben und 
Bewertungsmaßstäbe zu erfahren. Der Anwendungsbereich 
der Vorschrift ist dadurch eingeengt, dass es sich um eine 
Entscheidung handeln muss, die rechtliche Folgen nach sich 


zieht oder zumindest eine erheblich beeinträchtigende Wir- 
kung hat. Vor allem aber muss die Entscheidung ausschließ- 
lich aufgrund einer automatisierten Verarbeitung oder Nut- 
zung erfolgen, d. h. eine erneute Überprüfung durch einen 
Menschen darf nicht vorgesehen sein. Im öffentlichen Be- 
reich sind das in der Regel Verwaltungsakte. Nur in diesen 
Fällen greift das Verbot des Absatzes 1. Nach Artikel 15 
Abs. 2 Buchstabe b der Richtlinie kann von dem Verbot 
durch einzelstaatliches Gesetz, das geeignete Garantien vor- 
sieht, abgesehen werden. 

Entscheidungen im Sinne des Absatzes 1 sind solche, die 
auf Daten gestützt werden, die zum Zweck der Bewertung 
einzelner Aspekte einer Person, wie beispielsweise ihrer be- 
ruflichen Leistungsfähigkeit, ihrer Kreditwürdigkeit, ihrer 
Zuverlässigkeit oder ihres Verhaltens, erhoben wurden. 
Hierunter sind insbesondere sog. Scoring- Verfahren, wie sie 
im Kreditgewerbe üblich sind, zu verstehen. Diese Verfah- 
ren, auch Punktwertverfahren genannt, stellen eine Auswer- 
tungsmethode dar, eine Mehrzahl von Menschen oder 
Merkmalen in eine Reihenfolge nach einem oder mehreren 
Kriterien zu bringen, d. h. sie zu positionieren. Allerdings 
fallen Scoring- Verfahren nur dann unter die Regelung, 
wenn sowohl das Scoring- Verfahren als auch die anschlie- 
ßende Entscheidung in einer Hand liegen. Keine Entschei- 
dungen im Sinne des Absatzes 1 sind Vorgänge wie etwa 
Abhebungen am Geldausgabeautomaten, automatisierte Ge- 
nehmigungen von Kreditkartenverfugungen oder automati- 
siert gesteuerte Guthabenabgleiche zur Ausführung von 
Überweisungs-, Scheck- oder Lastschriftaufträgen. Anläss- 
lich der Geldtransaktion selbst wird lediglich ausgeführt, 
was in dem zugrunde liegenden Rechtsverhältnis zwischen 
Kreditinstitut und Kunde bereits vereinbart wurde. Auch 
bloße Vorentscheidungen, wie etwa die automatisierte Vor- 
auswahl im Vorfeld einer Personalbesetzung (automatisier- 
ter Abgleich des Personalbestandes anhand bestimmter 
Suchkriterien, wie etwa Alter, Ausbildung, Zusatzqualifika- 
tion u. ä.), sind nicht erfasst. 

Identifikationsverfahren, etwa mittels Finger- oder Handab- 
drücken, der Iris oder der Stimme, werden von der Rege- 
lung ebenfalls nicht erfasst. 

Absatz 2 setzt Artikel 15 Abs. 2 Buchstabe a der Richtlinie 
um und beinhaltet Ausnahmen von Absatz 1 . 

Der Begriff des sonstigen Rechtsverhältnisses meint eine 
der ersten Alternative vergleichbare Fallgestaltung im öf- 
fentlichen Bereich. 

Als geeignete Maßnahme im Sinne des Absatzes 2 Nr. 2 gilt 
insbesondere die Möglichkeit des Betroffenen, seinen 
Standpunkt geltend zu machen. Daneben kommen auch an- 
dere Maßnahmen in Betracht. Maßstab ist insoweit die Effi- 
zienz der jeweiligen Maßnahme hinsichtlich der Wahrung 
des berechtigten Interesses der betroffenen Personen. 

Um dem Zweck der Regelung des Absatzes 2 Nr. 2 gerecht 
zu werden, muss der Betroffene über die Tatsache des Vor- 
liegens einer Entscheidung im Sinne des Absatzes 1 infor- 
miert werden. Die erneute Überprüfung darf nicht aus- 
schließlich automatisiert erfolgen. 

Absatz 3 setzt Artikel 12 Buchstabe a, dritter Spiegelstrich 
der Richtlinie um. Das Auskunftsrecht über den logischen 
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Aufbau der automatisierten Verarbeitung soll Transparenz 
für den Betroffenen schaffen. Es zielt in erster Linie auf die 
Veranschaulichung dessen ab, was mit den Daten des Be- 
troffenen geschieht. Nicht erfasst sind dagegen unter dem 
Gesichtspunkt des Schutzes des Geschäftsgeheimnisses bei- 
spielsweise Auskünfte über die verwendete Software. Dies 
wird in Erwägungsgrund 41 der Richtlinie deutlich. Der An- 
wendungsbereich dieses gegenüber dem bisherigen Recht 
erweiterten Auskunftsrechts beschränkt sich auf die Fälle 
des § 6a. Diese Einschränkung wird durch die zugrunde he- 
gende Vorschrift der Richtlinie ermöglicht. 

Zu§6b 

Die in weiten Bereichen durch öffentliche und nicht öffent- 
liche Stellen bereits durchgeführte Videoüberwachung öf- 
fentlich zugänglicher Räume erhält durch die Vorschrift 
eine gesetzliche Grundlage, die der Wahrung des informati- 
oneilen Selbstbestimmungsrechts durch einen angemesse- 
nen Interessensausgleich Rechnung trägt. Da bereits die Be- 
obachtung selbst erfasst wird, kommt es nicht auf das Erfor- 
dernis einer anschließenden Speicherung des Bildmaterials 
an, um datenschutzrechtlich relevant zu sein. 

Die Vorschrift erfasst nur öffentlich zugängliche Räume wie 
etwa Bahnsteige, Ausstellungsräume eines Museums, Ver- 
kaufsräume oder Schalterhallen. Für nicht öffentlich zu- 
gängliche Räume sind besondere Regelungen, beispiels- 
weise im Rahmen eines Arbeitnehmerdatenschutzgesetzes, 
erforderlich. 

Soweit in bereichsspezifischen Normen, etwa für die Poli- 
zei, den Bundesgrenzschutz und die Nachrichtendienste des 
Bundes, Rechtsgrundlagen zur Videoüberwachung und 
-aufzeichnung enthalten sind, bleiben diese unberührt. 

Absatz 2 dient der Transparenz des Vorgangs der Video- 
überwachung. Geeignete Maßnahmen im Sinne dieser Vor- 
schrift sind beispielsweise deutlich sichtbare Fhnweisschil- 
der. Zusätzlich zum Umstand der Beobachtung muss für den 
Betroffenen die verantwortliche Stelle erkennbar sein, damit 
dieser seine Rechte gehend machen kann. 

Absatz 3 regelt die Speicherung der durch Beobachtung 
nach Absatz 1 erhobenen Daten. Die Speicherung ist nur zu- 
lässig, soweit sie für den verfolgten Zweck erforderlich ist. 

Die Löschungsregelung des Absatzes 4 trägt auch einem 
vorrangigen Löschungsinteresse des Betroffenen Rechnung. 

Zu Nummer 11 (§§7 und 8) 

Zu §7 

Im Gegensatz zur Regelung der §§7 und 8 a. F. wird in Um- 
setzung von Artikel 23 der Richtlinie in Satz 1 erstmals eine 
eigenständige Anspruchsgrundlage im Bundesdatenschutz- 
gesetz für eine Verschuldenshaftung geschaffen, die sowohl 
im öffentlichen als auch im nicht öffentlichen Bereich gilt. 
Sie umfasst sowohl Schadensersatzansprüche aus automati- 
sierter als auch aus nicht automatisierter Datenverarbeitung. 
Satz 2 setzt Artikel 23 Abs. 2 der Richtlinie um, der den für 
die Verarbeitung Verantwortlichen von der Haftung befreit, 
wenn er nachweist, dass der Umstand, durch den der Scha- 
den eingetreten ist, ihm nicht zur Last gelegt werden kann. 


Er erfasst erstmals auch den öffentlichen Bereich und dort 
auch Ansprüche aus fehlerhafter nicht automatisierter Da- 
tenverarbeitung und findet damit auch bei der Datenverar- 
beitung in Akten Anwendung. 

Da Artikel 2 Buchstabe b der Richtlinie auch die Erhebung 
und Nutzung in den Verarbeitungsbegriff einbezieht, war 
die Vorschrift entsprechend zu ergänzen. 

Absatz 2 entspricht Absatz 5 a. F., Absatz 3 entspricht Ab- 
satz 7 a. F. und Absatz 4 entspricht Absatz 8 a. F. 

Zu §8 

§ 8 entspricht im Wesentlichen § 7 a. F. 

Zu Nummer 12 (§ 9) 

Da Artikel 2 Buchstabe b der Richtlinie auch die Erhebung 
und Nutzung in den Verarbeitungsbegriff einbezieht, war 
die Vorschrift entsprechend zu ergänzen. 

Zu Nummer 13 (§ 9a) 

Das Datenschutzaudit verfolgt das Ziel, datenschutzfreund- 
liche Produkte auf dem Markt zu fördern, indem deren Da- 
tenschutzkonzept geprüft und bewertet wird. Eine entspre- 
chende Regelung zum Datenschutzaudit enthält § 17 Me- 
diendienste-Staatsvertrag. 

Satz 2 bestimmt für das nähere Verfahren des Audits eine 
Regelung durch Gesetz. Dies ist notwendig, da die Bestim- 
mung der Anforderungen an die Prüfung und Bewertung so- 
wie die Auswahl und Zulassung der Gutachter berufsbe- 
schränkenden Charakter hat und damit dem verfassungs- 
rechtlichen Vorbehalt des Gesetzes unterliegt. 

Zu Nummer 14 (§ 10) 

Beim Abruf handelt es sich um eine Form der Übermittlung. 
§ 1 0 gilt daher nur für On-Line-Verfahren der verantwortli- 
chen Stelle mit Dritten. Da der Begriff des Empfängers nun 
in § 3 Abs. 8 Satz 1 definiert ist, war Absatz 2 Nr. 2 durch 
den Begriff des Dritten zu präzisieren. 

Entsprechendes gilt für die Neuformulierung von Absatz 4. 

Die Änderung in Absatz 3 geht auf einen Beschluss des 
Bundeskabinetts vom 20. Januar 1993 (GMBl. S. 46) zu- 
rück, nach dem einheitlich für alle Bundesressorts die säch- 
liche Bezeichnungsfoim einzuführen ist. Auch in den Län- 
dern ist die sächliche Bezeichnungsform für die Landesres- 
sorts eingeführt worden. 

Zu Nummer 15 (§ 11) 

Da Artikel 2 Buchstabe b der Richtlinie auch die Erhebung 
und Nutzung in den Verarbeitungsbegriff einbezieht, war 
die Vorschrift entsprechend zu ergänzen. 

Die Änderung in Absatz 1 Satz 2 ist eine Folgeänderung der 
neu eingefügten Vorschriften der §§ 6a ff. 

Absatz 2 Satz 4 setzt Artikel 17 Abs. 2 zweiter Halbsatz der 
Richtlinie um. 

Die geänderten Verweise in Absatz 4 Nr. 2 sind Folgeände- 
rungen im Zusammenhang mit den Aufhebungen der §§ 32, 
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36 und 37, dem Entfallen der Meldepflicht für die Auftrags- 
datenverarbeitung im nicht öffentlichen Bereich (§ 4d 
Abs. 4) sowie mit der Schaffung der neuen Vorschriften der 
§§4fund4g. 

Zu Absatz 5 

Die Vorschrift erklärt die Regelungen über die Auftragsda- 
tenverarbeitung der Absätze 1 bis 4 für entsprechend an- 
wendbar auf die Prüfung oder Wartung automatisierter Ver- 
fahren oder von Datenverarbeitungsanlagen durch Stellen 
außerhalb der verantwortlichen Stelle. 

Zu Nummer 16 (§ 12) 

Die Änderungen der Verweise in den Absätzen 2 und 4 sind 
Folgeänderungen im Zusammenhang mit der Streichung 
von § 17 a. F., der Schaffung der neuen Vorschrift des § 19a, 
der Einbeziehung der Erhebung in § 28 Abs. 1 sowie der 
Einfügung eines neuen Absatzes 2 in § 28. 

Durch die Ergänzung in Absatz 4 war sicherzustellen, dass 
Arbeitnehmerdaten unabhängig von dem verwendeten Spei- 
chermedium geschützt sind. 

Zu Nummer 17 (§13) 

Zu Absatz 1 

ln Absatz 1 steht die Ersetzung des Begriffs „erhebenden 
Stellen“ durch den der „verantwortlichen Stehe“ im Zusam- 
menhang mit der Ersetzung des Begriffs der speichernden 
Stelle durch den der verantwortlichen Stelle (vgl. hierzu die 
Begründung zu § 3 Abs. 7). Anstelle der bisherigen Plural- 
form („Stehen“) wurde in Übereinstimmung mit § 14 
Abs. 1 die Singularform gewählt. Im Übrigen wird auf die 
Begründung zu § 4 verwiesen. 

Zu Absatz 2 

Absatz 2 setzt Artikel 8 der Richtlinie um, der ein generelles 
Verwendungsverbot mit enumerativen Ausnahmetatbestän- 
den für die in § 3 Abs. 9 bezeichneten Daten vorsieht. 
Durch die Nummern 1 bis 9 werden die nach der Richtlinie 
möglichen Ausnahmen im Hinblick auf das Bestimmtheits- 
gebot konkretisiert. Aufgrund der Subsidiarität des Bundes- 
datenschutzgesetzes nach § 1 Abs. 3 gelten die Einschrän- 
kungen des Absatzes 2 nur für Bereiche, in denen spezialge- 
setzliche Regelungen für die Verwendung der in § 3 Abs. 9 
genannten Arten von Daten fehlen. Dies gilt etwa für die 
Datenschutzregelungen im Bereich des Gesundheitswesens, 
die von Artikel 8 Abs. 3 der Richtlinie erfasst werden. Fer- 
ner geht die Gesetzgebung auf dem Gebiet der sozialen Si- 
cherheit den hier geschaffenen Regelungen vor, da es sich 
dabei um ein „wichtiges öffentliches Interesse“ im Sinne 
von Artikel 8 Abs. 4 der Richtlinie handelt, bei dessen Vor- 
liegen Ausnahmen von dem Verwendungsverbot des Absat- 
zes 1 zulässig sind. Dies wird im Erwägungsgrund 34 der 
Richtlinie besonders hervorgehoben, ln Erwägungsgrund 35 
wird darüber hinaus ausgeführt, dass die Verarbeitung per- 
sonenbezogener Daten durch staatliche Stellen für verfas- 
sungsrechtlich oder im Völkerrecht niedergelegte Zwecke 
von staatlich anerkannten Religionsgesellschaften im Hin- 
blick auf ein wichtiges öffentliches Interesse erfolgt. 


Absatz 2 Nr. 1 verdeutlicht, dass die Erhebung der in § 3 
Abs. 9 genannten Arten von Daten aufgrund entsprechender 
bereichspeziflscher Ermächtigungsgrundlagen oder dann 
zulässig ist, wenn die Erhebung zur Ermittlung des Sachver- 
halts zu einem auf solche Daten bezogenen Tatbestands- 
merkmal einer bereichspeziflschen Norm aus Gründen eines 
wichtigen öffentlichen Interesses zwingend erforderlich ist. 

Die Nummern 2, 3 und 4 setzen Artikel 8 Abs. 2 Buchstabe 
a, c und e der Richtlinie um. 

Die Nummern 5 und 6 beruhen auf einer Umsetzung des 
Artikels 8 Abs. 4 der Richtlinie. Die Anwendbarkeit der 
Nummer 6 setzt in Anbetracht der Anforderungen des Arti- 
kels 8 Abs. 4 der Richtlinie voraus, dass die Schwelle für 
die Annahme erheblicher Nachteile oder erheblicher Be- 
lange des Gemeinwohls hoch ist. Nicht jedes öffentliche In- 
teresse ist ausreichend. 

Nummer 7 setzt Artikel 8 Abs. 3 der Richtlinie um und 
schafft eine gesetzliche Grundlage für die Erhebung von 
Daten, um die Notwendigkeit der Einwilligung verbunden 
mit der Beachtung des Ausdrücklichkeitserfordemisses 
nach § 4a Abs. 3 zu vermeiden. Für die Verarbeitung und 
Nutzung der Daten sind wie bisher gemäß § 1 Abs. 3 Satz 2 
Berufs- und besondere Amtsgeheimnisse maßgeblich, die 
ein solches Ausdrücklichkeitserfordemis nicht kennen. Die 
Vorschrift erfasst auch die für die medizinische Begutach- 
tung erforderliche Diagnostik. Die Verwaltung von Gesund- 
heitsdiensten umfasst auch die Abrechnung ihrer Leistun- 
gen. 

Im Rahmen der Nummer 8 kommt bei der Abwägung und 
Gewichtung zwischen dem wissenschaftlichen Interesse an 
dem Forschungsvorhaben und dem Individualinteresse des 
Betroffenen am Ausschluss der Erhebung seiner Daten dem 
öffentlichen Interesse an dem Forschungsvorhaben eine er- 
hebliche Bedeutung zu. Die grundgesetzlich geschützte 
zweckfreie wissenschaftliche Forschung liegt regelmäßig 
im öffentlichen Interesse, wie es Artikel 8 Abs. 4 der Richt- 
linie fordert. 

Nummer 9 schafft eine Ausnahme außerhalb des von dem 
Anwendungsbereich der Richtlinie betroffenen Gegen- 
stands der ersten Säule des EU-Vertrages. 

Zu Nummer 18 (§ 14) 

Die Änderungen sind Folgeänderungen im Zusammenhang 
mit der Ersetzung des Begriffs der speichernden Stelle 
durch den der verantwortlichen Stelle (vgl. hierzu die Be- 
gründung zu § 3 Abs. 7). 

In Absatz 2 Nr. 6 bedurfte es zur Vermeidung von Wer- 
tungswidersprüchen einer entsprechenden Ergänzung für 
Daten, die nicht § 3 Abs. 9 unterfallen, da § 13 Abs. 2 Nr. 6 
die Erhebung von besonderen Arten personenbezogener Da- 
ten (§ 3 Abs. 9) auch zur Wahrung erheblicher Belange des 
Gemeinwohls vorsieht. Die Wörter „sonst unmittelbar dro- 
henden“ wurden in Anpassung an die gebräuchliche Termi- 
nologie in bereichsspeziflschen Gesetzen gestrichen. 

In Absatz 5 bedurfte es aufgrund der Regelung der Erhe- 
bung besonderer Arten personenbezogener Daten (§ 3 
Abs. 9) in Verbindung mit § 13 Abs. 2 einer Bestimmung 
zur weiteren zweckändemden Verwendung dieser Daten. 
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Zu Nummer 1 : Durch Verweis auf die Voraussetzungen des 
§13 Abs. 2 in Nummer 1 wird sichergestellt, dass sich die 
zweckändemde Verwendung in Übereinstimmung mit Arti- 
kel 6 Abs. 1 Buchstabe b der Richtlinie und ebenfalls im 
Rahmen der Möglichkeiten des Artikels 8 der Richtlinie be- 
wegt. 

Zu Nummer 2: Im Rahmen der Durchführung von For- 
schungsvorhaben ist zunächst wichtige Aufgabe des Wissen- 
schaftlers, Ziel und Zweck des jeweiligen Forschungsvorha- 
bens zu umschreiben. Dies hat in einer Weise zu erfolgen, die 
es ermöglicht, weitere Änderungen der wissenschaftlichen 
Fragestellung von vornherein mit einzubeziehen, so dass in- 
soweit keine Zweckänderungen im Sinne der Nummer 2 vor- 
liegen. Das in Nummer 2 statuierte Abwägungserfordernis 
des öffentlichen Interesses an der Durchführung des For- 
schungsvorhabens mit dem Interesse des Betroffenen an dem 
Ausschluss der Zweckänderung ist somit erst dann zu prü- 
fen, wenn es sich um Änderungen außerhalb der oben be- 
schriebenen wissenschaftlichen Fragestellung handelt. Zu- 
dem stellt Satz 2 sicher, dass dem wissenschaftlichen Inter- 
esse an dem Forschungsvorhaben im Rahmen dieser Abwä- 
gung besonderes Gewicht zukommt. 

Zu Absatz 6: Für die Speicherung, Veränderung oder Nut- 
zung dieser Daten sind gemäß § 1 Abs. 3 Satz 2 wie bisher 
Berufs- und besondere Amtsgeheimnisse maßgeblich, die 
das Ausdrüeklichkeitserfordemis des § 4a Abs. 3 nicht ken- 
nen. Der Gedanke des Absatzes 6 findet über die in § 15 
Abs. 1 Nr. 2 und § 16 Abs. 1 Nr. 1 erfolgende Bezugnahme 
auf § 14 auch Eingang in die für die Übermittlung geltenden 
Vorschriften. 

Zu Nummer 19 (§ 15) 

Die Vorschrift regelt den Fall der Übermittlung von Daten 
an öffentliche Stellen. Wesentliches Element der Übermitt- 
lung ist die Bekanntgabe von Daten an Dritte (§ 3 Abs. 4 
Nr. 3). Zu den datenempfangenden öffentlichen Stellen im 
Sinne der Vorschrift zählen alle deutschen öffentlichen Stel- 
len, soweit sie Dritte sind, sowie solche im EU- Ausland. 
Um Missverständnisse mit dem weitergehenden Begriff des 
nun in § 3 Abs. 8 Satz 1 definierten Empfängers zu vermei- 
den, war der Begriff des Empfängers durch den des Dritten, 
an den die Daten übermittelt werden, zu ersetzen bzw. die 
Vorschrift entsprechend zu modifizieren. 

Hinsichtlich des Verzichts auf den Begriff „Akten“ in Ab- 
satz 5 wird auf die Begründung zu § 3 Abs. 2 verwiesen. 

Zu Nummer 20 (§ 16) 

Zur Ersetzung des Begriffs des Empfängers durch den Be- 
griff des Dritten, an den die Daten übermittelt werden, wird 
auf die Begründung zu § 1 5 verwiesen. 

Die Ergänzung in Absatz 1 Nr. 2 Satz 2 stellt sicher, dass bei 
einer Übermittlung von Daten nach § 3 Abs. 9 die Anforde- 
rungen des § 14 Abs. 5 und 6 gewahrt werden. Auf die Be- 
gründung zu dieser Vorschrift wird verwiesen. Der letzte 
Halbsatz setzt Artikel 8 Abs. 2 Buchstabe e zweiter Halb- 
satz der Richtlinie um und gewährleistet unter den genann- 
ten Voraussetzungen die Übermittlung von Daten nach § 3 
Abs. 9 an nicht öffentliche Stellen. 


Zu Nummer 21 (§ 17) 

Auf die Begründung zu § 4b wird verwiesen. 

Zu Nummer 22 (§ 18) 

Um unnötige Wiederholungen zu vermeiden, wurde die 
Auflistung des Absatzes 2 Satz 2 durch den Verweis auf die 
neue Vorschrift des § 4e ersetzt. Die Angabe der Rechts- 
grundlage der Verarbeitung dient der Erleichterung der 
Überprüfung durch den Bundesbeauftragten für den Daten- 
schutz. 

Absatz 2 Satz 3 und 4 beinhaltet eine Einschränkung der 
Verpflichtung der öffentlichen Stellen zur Führung eines 
Verzeichnisses ihrer automatisierten Verarbeitungen, die der 
Entlastung dieser Stellen dient. Anwendungsbeispiele sind 
in erster Linie triviale automatisierte Verarbeitungen (Ge- 
burtstagslisten u. ä.). 

Die umzusetzende Richtlinie sieht eine Privilegierungsmög- 
lichkeit für nur vorübergehend vorgehaltene Dateien im 
Sinne des § 18 Abs. 3 a. F. nicht vor. Die Vorschrift des Ab- 
satzes 3 war daher ersatzlos aufzuheben. 

Zu Nummer 23 (§ 19) 

Durch die Neufassung des Absatzes 1 wird Artikel 12 
Buchstabe a erster Spiegelstrich der Richtlinie umgesetzt. 

Die Neufassung erweitert den Umfang des Auskunftsrechts 
um die Information über Empfänger oder Kategorien von 
Empfängern. Um inhaltliche Überschneidungen von Num- 
mer 2 mit Nummer 1 a. F. zu vermeiden, war Nummer 1 
a. F. entsprechend zu modifizieren. Im Hinblick auf den Be- 
griff des Empfängers wird auf § 3 Abs. 8 Satz 1 sowie die 
Begründung hierzu verwiesen. 

Die Änderungen in Absatz 1 Satz 4, den Absätzen 4 und 6 
sind Folgeänderungen im Zusammenhang mit der Ersetzung 
des Begriffs der speichernden Stelle durch den der verant- 
wortlichen Stelle (vgl. hierzu die Begründung zu § 3 
Abs. 7). Hinsichtlich der Ersetzung des Wortes „Akten“ 
durch die Wörter „weder automatisiert noch in nicht auto- 
matisierten Dateien“ in Absatz 1 Satz 3 wird auf die Be- 
gründung zu § 3 Abs. 2 verwiesen. 

Die Ausnahme des Absatzes 2 Satz 1 wurde in Anwendung 
des Artikels 13 Abs. 1 Buchstabe g der Richtlinie modifi- 
ziert. 

Die Änderung in Absatz 3 geht auf einen Beschluss des 
Bundeskabinetts vom 20. Januar 1993 (GMBl. S. 46) 
zurück, nach dem einheitlich für alle Bundesressorts die 
sächliche Bezeichnungsform einzuführen ist. Entspre- 
chende Änderungen finden sich in § 22 Abs. 5 und § 23 
Abs. 3 und 5. 

Zu Nummer 24 (§ 19a) 

Absatz 1 führt in Umsetzung von Artikel 1 1 der Richtlinie 
eine Benachrichtigungspflicht im öffentlichen Bereich für 
die Fälle ein, in denen Daten nicht beim Betroffenen unmit- 
telbar selbst erhoben werden. 

Die in Absatz 2 Nr. 1 bis 3 geregelten Ausnahmen von der 
Benachrichtigungspflicht setzen Artikel 11 Abs. 2 der 



Deutscher Bundestag - 14. Wahlperiode 


-41- 


Drucksache 14/4329 


Richtlinie um, die in Absatz 3 geregelten Ausnahmen beru- 
hen auf Artikel 13 der Richtlinie. 

Durch Absatz 2 Satz 2 wird das Erfordernis der „geeigneten 
Garantien“ nach Artikel 11 Abs. 2 Satz 2 der Richtlinie um- 
gesetzt. Der behördliche Beauftragte für den Datenschutz 
wirkt auf die Einhaltung dieser Vorschrift hin. 

Zu Nummer 25 (§ 20) 

Die Überschrift war aufgrund der Einfügung des Wider- 
spruchsrechts in Absatz 5 zu ergänzen. 

Zu Absatz 1 

Hinsichtlich der Ersetzung des Wortes „Akten“ durch die 
Wörter „weder automatisiert verarbeitet noch in nicht auto- 
matisierten Dateien gespeichert“ wird auf die Begründung 
zu § 3 Abs. 2 verwiesen. Die Änderungen im zweiten Teil 
von Satz 2 sind bloße Folgeänderungen ohne inhaltliche 
Auswirkung. 

Zu Absatz 2 

Hinsichtlich der Änderung in Satz 1 vor Nummer 1 wird auf 
die Begründung zu § 3 Abs. 2 verwiesen. Die Änderung in 
Absatz 2 Nr. 2 ist eine Folgeänderung im Zusammenhang 
mit der Ersetzung des Begriffs der speichernden Stelle 
durch den der verantwortlichen Stelle (vgl. hierzu die Be- 
gründung zu § 3 Abs. 7). 

Zu Absatz 4 

Auf die Begründung zu § 3 Abs. 2 wird verwiesen. 

Zu Absatz 5 

Absatz 5 setzt Artikel 14 Buchstabe a der Richtlinie für den 
öffentlichen Bereich um. Ausweislich des Erwägungsgrun- 
des 45 der Richtlinie gilt das Widerspruchsrecht des Betrof- 
fenen für Fälle rechtmäßiger Datenverarbeitung. Begründet 
ist der Widerspruch des Betroffenen allerdings nur, sofern 
besondere Umstände in der Person des Betroffenen vorlie- 
gen und das schutzwürdige Interesse des Betroffenen an der 
Unterlassung das der speichernden Stelle an der Verarbei- 
tung überwiegt. Diese Voraussetzungen werden nur in Aus- 
nahmefallen erfüllt sein. Vor dem Hintergrund, dass dem 
Widerspruch eine rechtmäßige Verarbeitung und Nutzung 
zugrunde liegt, ist bei der Prüfung des Vorliegens einer be- 
sonderen persönlichen Situation, die das öffentliche Inter- 
esse an der Verarbeitung und Nutzung zurücktreten lässt, 
ein besonders strenger Maßstab anzulegen. Beispiele für 
derartige Regelungen finden sich bereits im Melderecht (§ 7 
Nr. 5 Melderechtsrahmengesetz), im Sozialgesetzbuch (§ 76 
Abs. 2 Nr. 1 SGB X) und im Krebsregistergesetz (§ 3 Abs. 2 
Satz 2). Satz 2 schließt das Widerspruchsrecht in den Fällen 
aus, in denen eine Rechtsvorschrift zur Erhebung, Verarbei- 
tung oder Nutzung verpflichtet. Dies steht im Einklang mit 
der Richtlinie, da Artikel 14 Buchstabe a der Richtlinie 
nicht auf Artikel 7 Buchstabe c der Richtlinie verweist. 

Zusätzliche bereichsspezifische Ausnahmen sind möglich 
(Artikel 14 Buchstabe a zweiter Halbsatz der Richtlinie). 


Zu Absatz 6 

Hinsichtlich der Ersetzung des Wortes „Akten“ durch die 
Wörter „weder automatisiert verarbeitet noch in einer Datei 
gespeichert“ wird auf die Begründung zu § 3 Abs. 2 verwie- 
sen. 

Zu Absatz 7 

Die Änderung in Absatz 7 Nr. 1 ist eine Folgeänderung im 
Zusammenhang mit der Ersetzung des Begriffs der spei- 
chernden Stelle durch den der verantwortlichen Stelle (vgl. 
hierzu die Begründung zu § 3 Abs. 7). 

Zu Absatz 8 

Durch den Wegfall der Regelmäßigkeit der Datenübermitt- 
lung als Voraussetzung der Nachberichtspflicht (vgl. § 20 
Abs. 7 a. F.) wird in Umsetzung von Artikel 12 Buchstabe c 
der Richtlinie der Anwendungsbereich der Nachberichts- 
pflicht erweitert. Gleichzeitig wird - ebenfalls in Umset- 
zung der Richtlinie - sichergestellt, dass die Nachberichts- 
pflicht nur besteht, wenn sie keinen unverhältnismäßigen 
Aufwand erfordert. Durch die Formulierung „und schutz- 
würdige Interessen des Betroffenen nicht entgegenstehen“ 
soll verhindert werden, dass eine Benachrichtigung zu Las- 
ten des Betroffenen erfolgen kann. 

Zu Nummer 26 (§ 22) 

Zu den Änderungen in Absatz 5 wird auf die Begründung 
zu § 19 Abs. 3 verwiesen. Wegen der Bedeutung der Verei- 
digung und der Beauftragung eines Stellvertreters des Bun- 
desbeauftragten bleiben die Absätze 2 und 6 insoweit unver- 
ändert. 

Zu Nummer 27 (§ 23) 

Zu den Änderungen in Absatz 3 Satz 1 und 2 und Absatz 5 
Satz 3 wird auf die Begründung zu § 19 Abs. 3 verwiesen. 
Wegen der Bedeutung des Amtes des Bundesbeauftragten 
bleibt Absatz 1 Satz 6 unverändert. 

Die Regelung des Absatzes 5 Satz 5, die an § 27 Abs. 2 
BImSchG angelehnt ist, stellt sicher, dass die in den be- 
nannten Vorschriften der Abgabenordnung normierten Mit- 
teilungspflichten nicht gelten. Die erfolgte Ergänzung stellt 
eine Konkretisierung des bereits nach geltendem Recht be- 
stehenden Gebots der Verschwiegenheit für den Bundesbe- 
auftragten für den Datenschutz dar, wonach die ihm bekannt 
gewordenen Daten grundsätzlich einem Übermittlungsver- 
bot unterliegen, soweit nicht die Ausnahmen der Sätze 2 
oder 4 einschlägig sind. Satz 6 sieht - ebenfalls in Anleh- 
nung an § 27 Abs. 2 BImSchG - Ausnahmen von diesem 
Grundsatz vor. Satz 7 beinhaltet in Umsetzung von Artikel 
28 Abs. 3, dritter Spiegelstrich der Richtlinie eine Anzeige- 
befugnis des Bundesbeauftragten für den Datenschutz sowie 
dessen Recht, Betroffene zu informieren. 

Absatz 8 erweitert die Anwendung der Regelung des Absat- 
zes 5 Satz 5 bis 7 auf die öffentlichen Stellen, die für die 
Kontrolle der Einhaltung der Vorschriften über den Daten- 
schutz in den Ländern zuständig sind. 
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Zu Nummer 28 (§ 24) 

Zu Absatz 1 

Die bisherige Beschränkung der Kontrolle des Bundesbe- 
auftragten für den Datenschutz (BfD) in Akten auf eine An- 
lasskontrolle (Absatz 1 Satz 2) war zu streichen, da Artikel 
28 der Richtlinie insoweit keine Einschränkung vorsieht. 
Unabhängig hiervon wird der BfD, sofern die kontrollierte 
Stelle den Sicherheitsvorbehalt nach § 24 Abs. 4 Satz 4 er- 
hebt, zunächst die Entscheidung der obersten Bundesbe- 
hörde abwarten. 

Zu Absatz 2 Satz 1 bis 3 

Bereits bei der Novellierung des BDSG 1990 waren zuvor 
bestehende Unsicherheiten in der Rechtsanwendungspraxis 
hinsichtlich personenbezogener Daten, die einem Berufs- 
oder besonderen Amtsgeheimnis unterliegen, durch Klar- 
stellung im Rahmen der Neufassung von § 24 Abs. 1 und 2 
beseitigt worden. Keine ausdrückliche Regelung enthält das 
geltende Recht für die Kontrolle des Bundesbeauftragten für 
den Datenschutz hinsichtlich der von öffentlichen Stellen 
des Bundes erlangten personenbezogenen Daten über den 
Inhalt und die näheren Umstände des Brief-, Post- und Fem- 
meldeverkehrs. Vielmehr verwehrt § 24 Abs. 2 Satz 3 des 
geltenden Rechts, der den Inhalt des Post- und Femmelde- 
verkehrs von der Kontrolle ausnimmt, es dem Bundesbeauf- 
tragten für den Datenschutz, die Verwendung der durch Ein- 
griffe in das Brief-, Post- und Femmeldegeheimnis erlang- 
ten Daten zu kontrollieren. Dies soll mit der vorgesehenen 
Änderung ermöglicht werden. Soweit der bisherige Satz 4 
(zukünftig Satz 3) des § 24 Abs. 2 eine ausschließliche 
Kontrollkompetenz der in § 9 des Gesetzes zu Artikel 10 
des Grundgesetzes genannten Kommission vorsieht, bleibt 
diese unberührt. 

Zu Absatz 2 Satz 4 

Die Neuformulierung des Satzes 4 ist redaktionell bedingt 
durch die Streichung von Satz 4 Nr. 2 a. F. 

In Umsetzung von Artikel 28 der Richtlinie war in Absatz 2 
Satz 4 a. F. das Widerspruchsrecht gegen die Kontrolle 
durch den Bundesbeauftragten für den Datenschutz, wie es 
in Absatz 2 Satz 4 Nr. 2 Buchstabe a und b sowie c erster 
Teil (Personalakten) a. F. vorgesehen war, mit Blick auf die 
insoweit unbeschränkten Kontrollrechte nach Artikel 28 der 
Richtlinie zu streichen. 

Die Neuregelung des Absatzes 3 präzisiert die Ausnahmen 
von der Kontrolle durch den Bundesbeauftragten für den 
Datenschutz im Bereich der Justiz. 

Zu Nummer 29 (§ 26) 

Absatz 1 Satz 2 beinhaltet eine ausdrückliche Befugnis des 
Bundesbeauftragten, sich jederzeit an Parlament und Öf- 
fentlichkeit wenden zu dürfen, um diese über wichtige Ent- 
wicklungen des Datenschutzes zu unterrichten. 

Absatz 4 Satz 2 erstreckt die Amtshilferegelung des § 38 
Abs. 1 Satz 3 und 4 für die Aufsichtsbehörden auf den Bun- 
desbeauftragten für den Datenschutz. 


Nach § 4d Abs. 1 und 2 in Verbindung mit § 4f Abs. 1 
Satz 1 entfällt aufgrund der obligatorischen Bestellung 
eines behördlichen Beauftragten für den Datenschutz die 
Meldepflicht im öffentlichen Bereich. Adressat der Ver- 
pflichtung nach § 4g Abs. 2 ist im öffentlichen Bereich aus- 
schließlich der Beauftragte für den Datenschutz. Die Not- 
wendigkeit zur Führung eines Registers beim 
Bundesbeauftragten für den Datenschutz nach Absatz 5 a. F. 
entfällt daher. 

Zu Nummer 30 (§ 27) 

Zu den Änderungen in Absatz 1 wird auf die Begründung 
zu § 1 Abs. 2 Nr. 3 sowie zu § 3 Abs. 2 verwiesen. Hinsicht- 
lich der Einfügung des Wortes „erhoben“ in Absatz 1 wird 
auf die Begründung zu § 4 Abs. 1 verwiesen. 

Die Änderung in Absatz 2 ist eine Folgeänderung im Zu- 
sammenhang mit der Änderung des Dateibegriffs und der 
Tatsache, dass dem Begriff der Akte keine eigenständige 
Bedeutung mehr zukommt (vgl. hierzu die Begründung zu 
§ 3 Abs. 2). 

Zu Nummer 31 (§ 28) 

Zu Absatz 1 Satz 1 

Absatz 1 Satz 1 bedurfte der Ergänzung durch den Begriff 
der Erhebung, da Artikel 2 Buchstabe b der Richtlinie die Er- 
hebung als Verarbeitungsform begreift und die in Artikel 7 
aufgeführten Voraussetzungen für die Zulässigkeit der Ver- 
arbeitung damit auch bei der Erhebung personenbezogener 
Daten zu beachten sind. Absatz 1 Satz 2 a. F. konnte daher 
entfallen. 

Die Neuformulierung von Absatz 1 Nr. 1 verdeutlicht den 
Gedanken der Zweckbestimmung. Die Änderungen in Ab- 
satz 1 Nr. 2 und 3 sowie in Absatz 4 („verantwortliche 
Stelle“) sind Folgeänderungen im Zusammenhang mit der 
Ersetzung des Begriffs der speichernden Stelle durch den 
der verantwortlichen Stelle (vgl. hierzu die Begründung zu 
§ 3 Abs. 7). Die übrigen Änderungen in Absatz 1 Nr. 3 ver- 
deutlichen, dass eine Abwägung der schutzwürdigen Inte- 
ressen des Betroffenen mit dem berechtigten Interesse der 
verantwortlichen Stelle stattflnden muss. 

Absatz 1 Nr. 4 a. F. beinhaltete - insofern atypisch im Ver- 
gleich zu Absatz 1 Nr. 1 bis 3 - eine Zweckänderungsrege- 
lung, die fast wörtlich der Zweckänderungsregelung in § 14 
Abs. 2 Nr. 9 entsprach. In Übereinstimmung mit der Syste- 
matik des Absatzes 1 Nr. 1 bis 3 und um Überschneidungen 
mit Absatz 3 Nr. 4 zu vermeiden, war Absatz 1 Nr. 4 aufzu- 
heben. Die Zulässigkeit des Erhebens im Bereich der wis- 
senschaftlichen Forschung bleibt hiervon unberührt und 
richtet sich wie bisher nach Absatz 1 Nr. 1 und 2. 

Zu Absatz 1 Satz 2 

Artikel 6 Abs. 1 Buchstabe b der Richtlinie sieht vor, dass 
personenbezogene Daten „für festgelegte eindeutige und 
rechtmäßige Zwecke erhoben und nicht in einer mit diesen 
Zweckbestimmungen nicht zu vereinbarenden Weise wei- 
terverarbeitet werden“. Gemäß Artikel 10 der Richtlinie ist 
der Betroffene bereits bei der Erhebung über die Zweckbe- 
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Stimmungen der Erhebung, Verarbeitung und Nutzung zu 
informieren. Dies setzt voraus, dass bereits bei der Erhe- 
bung der Zweck festliegen muss. 

Zu Absatz 2 

Da die Richtlinie nicht zwischen dem öffentlichen und dem 
nicht öffentlichen Bereich differenziert, Artikel 6 Abs. 1 
Buchstabe b der Richtlinie somit auch im nicht öffentlichen 
Bereich uneingeschränkt Anwendung findet, war der 
Grundsatz der Zweckbindung daher hier weitergehend als 
bisher zu verankern. Absatz 2 beinhaltet deswegen eine ent- 
sprechende über Absatz 4 a. F. hinausgehende Zweckände- 
rungsregelung. Da Fälle einer Zweckänderung unter den 
Voraussetzungen des Absatzes 1 Nr. 1 nicht vorstellbar sind, 
konnte der Verweis auf Absatz 1 Nr. 2 und 3 beschränkt 
werden. 

Zu Absatz 3 

Die Neufassung von Absatz 3 beruht im Wesentlichen auf 
rechtsförmlichen Überlegungen. Absatz 3 Satz 1 Nr. 2 ent- 
spricht Absatz 2 Nr. 1 Buchstabe a zweite Alternative a. F. 
In Übereinstimmung mit den Artikeln 6 und 1 3 der Richtli- 
nie war der Begriff des öffentlichen Interesses auf den der 
Abwehr von Gefahren für die staatliche und öffentliche Si- 
cherheit sowie der Verfolgung von Straftaten zu begrenzen. 
Durch die Änderung in Absatz 3 Satz 1 Nr. 3 wird die 
Zweckbindung in Umsetzung von Artikel 6 Abs. 1 Buch- 
stabe b der Richtlinie verankert und gleichzeitig der betrof- 
fene Adressatenkreis der Regelung verdeutlicht. Da der Be- 
troffene in den Fällen des Absatzes 3 Nr. 1 bis 3 nicht nur 
ein schutzwürdiges Interesse am Ausschluss der Übermitt- 
lung, sondern auch der Nutzung haben kann, war Absatz 3 
Satz 1 a. E. entsprechend zu ergänzen. Die Streichung des 
Merkmals „gesundheitliche Verhältnisse“ in Absatz 3 Satz 2 
beruht auf der Einfügung des Absatzes 6, der für die beson- 
deren Arten personenbezogener Daten (§ 3 Abs. 9), und da- 
mit auch für Gesundheitsdaten, eine enge Verwendungsbe- 
schränkung vorsieht. 

Zu Absatz 4 

Satz 2 setzt Artikel 14 Satz 2 der Richtlinie um, wonach die 
Mitgliedstaaten die erforderlichen Maßnahmen zu ergreifen 
haben, um sicherzustellen, dass die betroffenen Personen 
vom Bestehen des Widerspruchsrechts Kenntnis haben. Da- 
mit der Adressat des Widerspruchsrechts insbesondere im 
Rahmen von schriftlichen Werbeaktionen ermittelt werden 
kann, ist eine Information über die verantwortliche Stelle 
vorgesehen. 

Da es sich bei der Regelung des Absatzes 4 Satz 3 um ein 
Widerspruchsrecht des Betroffenen gegenüber demjenigen 
handelt, an den Daten des Betroffenen übermittelt wurden, 
also gegenüber einem Dritten, war der weitergehende Be- 
griff des Empfängers durch den des Dritten zu ersetzen. 

Zu Absatz 5 

Im Hinblick auf Absatz 5 Satz 1 wird auf die Begründung 
zu Absatz 4 Satz 3 verwiesen. Die Änderungen in Absatz 5 
Satz 2 beseitigen eine redaktionelle Unschärfe der bisheri- 
gen Regelung. 


Zu den Absätzen 6 bis 9 

Die Absätze 6 bis 9 setzen Artikel 8 der Richtlinie um. Auf 
dem Gebiet des Arbeitsrechts können für die Verwendung 
der in § 3 Abs. 9 genannten Arten personenbezogener Daten 
bereichsspezifische Regelungen geschaffen werden. Das ist 
durch Artikel 8 Abs. 2 Buchstabe b der Richtlinie gedeckt. 
Die in § 3 Abs. 9 genannten Daten dürfen im Übrigen auch 
bisher nur im Rahmen der Grundsätze des allgemeinen ar- 
beitsrechtlichen Informations- und Datenschutzes erhoben, 
verarbeitet und genutzt werden, die die von der Richtlinie 
vorgesehenen Garantien enthalten. 

Nummer 1 des Absatzes 6 setzt Artikel 8 Abs. 2 Buch- 
stabe c der Richtlinie um. 

Die Nummern 2 und 3 des Absatzes 6 setzen Artikel 8 
Abs. 2 Buchstabe e der Richtlinie um. Die nach Nummer 3 
vorzunehmende Abwägung trägt dem Umstand Rechnung, 
dass die Berücksichtigung der Belange des Betroffenen 
nach Absatz 1 Nr. 2 bereits für Daten gilt, die nicht § 3 
Abs. 9 unterfallen. 

Zu Absatz 6 Nr. 4 wird auf die Ausführungen zu § 13 Abs. 2 
Nr. 8 verwiesen. 

Zu Absatz 7 wird auf die Begründung zu § 13 Abs. 2 Nr. 7 
verwiesen. Satz 3 ist eine Auffangnorm für Leistungserbrin- 
ger, die zu Lasten der Sozialversicherungssysteme abrech- 
nen. 

Absatz 8 Satz 1 entspricht der Regelung des Absatzes 2 und 
verankert auch hier den Grundsatz der Zweckbindung nach 
Artikel 6 Abs. 1 Buchstabe b der Richtlinie. Satz 2 regelt ei- 
nen zusätzlichen Fall zulässiger Zweckänderung, der mit 
Artikel 8 Abs. 4 der Richtlinie in Einklang steht. 

Absatz 9 setzt Artikel 8 Abs. 2 Buchstabe d der Richtlinie 
um. 

Zu Nummer 32 (§ 29) 

Zu Absatz 1 

Hinsichtlich der Einfügung des Begriffs der Erhebung in die 
Überschrift sowie in Absatz 1 wird auf die Begründung zu 
§ 28 Abs. 1 verwiesen. 

Der nunmehr verwandte Begriff der verantwortlichen Stelle 
ist in der Begründung zu § 3 Abs. 7 erläutert. 

Die Ergänzungen von Absatz 1 vor Nummer 1 verstärken 
den Grundsatz der Zweckbindung im Rahmen der Vor- 
schrift. Auf die Begründung zu § 28 Abs. 2 wird insoweit 
verwiesen. 

Zu Absatz 2 

Der Einschub in Absatz 2 vor Nummer 1 Buchstabe a stellt 
sicher, dass Übermittlungen gemäß Absatz 2 nur bei Vorlie- 
gen der Zwecke des Absatzes 1 vorgenommen werden dür- 
fen. 

Die Vorschrift erfasst nicht öffentliche Stellen, die ge- 
schäftsmäßig Daten speichern, um sie zu übermitteln, also 
an Dritte bekanntzugeben (§ 3 Abs. 4 Satz 2 Nr. 3). Um 
Missverständnisse mit dem weitergehenden Begriff des nun 
in § 3 Abs. 8 Satz 1 definierten Empfängers zu vermeiden. 
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war der Begriff des Empfängers durch den des Dritten, dem 
die Daten übermittelt werden, zu ersetzen. 

Die Änderungen der Verweise in Absatz 2 Satz 1 Nr. 1 
Buchstabe b sowie Satz 2 sind Folgeänderungen im Zusam- 
menhang mit der Einfügung eines neuen Absatzes 2 in § 28 
und der Neugestaltung des Absatzes 3. 

Zu Absatz 3 

§ 10 Telekommunikationsdiensteuntemehmen-Datenschutz- 
verordnung (TDSV) erlaubt, dass sog. Diensteanbieter, d. h. 
alle, die ganz oder teilweise geschäftsmäßig Telekommuni- 
kationsleistungen erbringen, Verzeichnisse ihrer Kunden als 
Druckwerke oder elektronisch hersteilen und diese selbst 
oder durch Dritte herausgeben. Hierin werden die Kunden auf 
freiwilliger Basis mit ihrem Namen und ihrer Anschrift ein- 
getragen. Der Kunde hat die Möglichkeit, seiner Eintragung 
in elektronischen und gedruckten Verzeichnissen jeweils ge- 
sondert zu widersprechen. Der Widerspruch muss in den 
Kundenverzeichnissen kenntlich gemacht werden. Da die 
Vorschrift des § 10 TDSV als Normadressaten nur Dienstean- 
bieter erfasst, besteht eine Regelungslücke für denjenigen 
Personenkreis, der - ohne Diensteanbieter zu sein - ver- 
gleichbare Verzeichnisse erstellt. Auch Adressbücher werden 
zunehmend in elektronischer Form erstellt. Bislang galten in- 
soweit nur die allgemeinen Vorschriften des Bundesdaten- 
schutzgesetzes, die sich als unzureichend erwiesen haben. 

Der neue Absatz 3 schafft nun Rechtsklarheit insofern, als 
er sicherstellt, dass der Wille von Betroffenen, nicht einge- 
tragen zu werden, von jedem potenziellen Herausgeber ent- 
sprechender Verzeichnisse dahingehend zu respektieren ist, 
dass die Aufnahme in Adress- u. ä. Verzeichnisse zu unter- 
bleiben hat oder bei der Übernahme in Verzeichnisse oder 
Register entsprechende Markierungen übernommen werden 
müssen. Voraussetzung hierfür ist die Kenntlichmachung 
des einer Eintragung entgegenstehenden Willens in dem 
Verzeichnis oder Register, das von dem potentiellen Heraus- 
geber als Grundlage für sein eigenes Verzeichnis herangezo- 
gen wird. Dies ist bereichsspezifisch zu regeln. 

Zu Absatz 4 

Die geänderten Verweise in Absatz 4 sind Folgeänderun- 
gen im Zusammenhang mit der Schaffung eines neuen Ab- 
satzes 2 in § 28. 

Zu Absatz 5 

Absatz 5 stellt sicher, dass die Restriktionen für die Erhe- 
bung, Verarbeitung und Nutzung sensitiver Daten auch im 
Anwendungsbereich von § 29 gelten. 

Zu Nummer 33 (§ 30) 

Hinsichtlich der Einfügung des Begriffs der Erhebung in die 
Überschrift sowie in Absatz 1 wird auf die Begründung zu 
§ 28 Abs. 1 verwiesen. 

Bezüglich des Begriffs der verantwortlichen Stelle in Ab- 
satz 2 Nr. 2 wird auf die Begründung zu § 3 Abs. 7 verwie- 
sen. Die Formulierung „soweit nicht“ in Absatz 2 Nr. 2 ver- 
deutlicht das Erfordernis einer Abwägung mit den schutz- 
würdigen Interessen des Betroffenen. 


Da die Vereinbarkeit des Ausschlusses der Betroffenen- 
rechte in Absatz 4 mit Artikel 1 3 der Richtlinie zweifelhaft 
ist, war die Verweisung in Absatz 4 insoweit zu streichen. 

Zu Absatz 5 

Auf die Begründung zu § 29 Abs. 5 wird verwiesen. 

Zu Nummer 34 (§ 32) 

Die Aufhebung von § 32 a. F. ist eine Folgeänderung im Zu- 
sammenhang mit den neu geschaffenen Vorschriften der 
§§ 4dund 4e. 

Zu Nummer 35 (§ 33) 

Zu Absatz 1 

Durch die Erweiterung der Benachrichtigungspflicht ge- 
genüber dem Betroffenen in Absatz 1 Satz 1 und 3 wird 
Artikel 11 Abs. 1 der Richtlinie für den nicht öffentlichen 
Bereich umgesetzt. 

Zu Absatz 2 Satz 1 Nr. 2 

Die bisher geltende Ausnahme von der Benachrichtigung in 
Absatz 2 Satz 1 Nr. 2 war aufgrund des in Artikel 1 1 Abs. 2 
der Richtlinie vorgesehenen Gedankens des Absehens von 
der Benachrichtigung aus Gründen der Unverhältnismäßig- 
keit entsprechend einzuschränken. 

Zu Absatz 2 Satz 1 Nr. 4 

Durch die neu eingefügte Nummer 4 wird der Ausnahme- 
katalog des Absatzes 2 um einen in Artikel 1 1 Abs. 2 der 
Richtlinie vorgesehenen Ausnahmetatbestand ergänzt. 

Anwendungsbeispiel ist etwa das Geldwäschegesetz vom 
25. Oktober 1993 (BGBl. I S. 1770, zuletzt geändert durch 
Gesetz vom 17. Dezember 1997, BGBl. I S. 3108). Hier 
entfällt eine Benachrichtigungspflicht aufgrund der im 
Geldwäschegesetz ausdrücklich vorgesehenen Speiche- 
rungs- und Übermittlungsvorschriften der hiervon betroffe- 
nen Institute. 

Zu Absatz 2 Satz 1 Nr. 5 

Hinsichtlich der Aufhebung von Absatz 2 Nr. 5 a. F. wird 
auf die Begründung zur Aufhebung von § 18 Abs. 3 verwie- 
sen. 

Die neu eingefügte Nummer 5 setzt Artikel 1 1 Abs. 2 der 
Richtlinie um, soweit dort eine Ausnahme von der Benach- 
richtigungspflicht im Rahmen der Datenverarbeitung für 
Zwecke der wissenschaftlichen Forschung vorgesehen ist. 

Zu Absatz 2 Satz 1 Nr. 7 Buchstabe a und Nr. 8 

Auf die Begründung zu Absatz 2 Nr. 2 wird verwiesen. 

Zu Absatz 2 Satz 2 

Durch Absatz 2 Satz 2 wird das Erfordernis der „geeigneten 
Garantien“ gemäß Artikel 1 1 Abs. 2 Satz 2 der Richtlinie 
umgesetzt. Der betriebliche Beauftragte für den Daten- 
schutz wirkt auf die Einhaltung dieser Vorschrift hin. 
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Zu Nummer 36 (§ 34) 

Zu Absatz 1 

Durch die Neufassung wird Artikel 12 Buchstabe a erster 
Spiegelstrich der Richtlinie umgesetzt. 

Die Neufassung erweitert den Umfang des Auskunftsrechts 
um die Information über Empfänger oder Kategorien von 
Empfängern. Um inhaltliche Überschneidungen von Num- 
mer 2 mit Nummer 1 a. F. zu vermeiden, war Nummer 1 
entsprechend zu modifizieren. Im Hinblick auf den Begriff 
des Empfängers wird auf § 3 Abs. 8 Satz 1 sowie die Be- 
gründung hierzu verwiesen. Das Kriterium der Regelmäßig- 
keit (vgl. Nummer 3 a. F.) war zu streichen, da die Richtli- 
nie keine entsprechende Einschränkung vorsieht. Die Ände- 
rung des Satzes 3 beruht auf einer Anpassung an die Aus- 
nahme vom Auskunftsrecht nach Artikel 1 3 Buchstabe g der 
Richtlinie. Der Schutz der „Rechte und Freiheiten anderer 
Personen“ umfasst auch das Geschäftsgeheimnis. 

Zu Absatz 2 

Absatz 2 Satz 3 a. F. war in Übereinstimmung mit Artikel 
28 der Richtlinie aufzuheben. Zu Satz 2 wird auf die Be- 
gründung zu Absatz 1 verwiesen. 

Zu Absatz 4 

Anders als im Rahmen der Benachrichtigung sind im Rah- 
men der Auskunft Ausnahmen in den Fällen des § 33 Abs. 2 
Nr. 2, 4 und 5 nicht sachgerecht. Die Verweisung in § 33 
Abs. 4 war dementsprechend zu begrenzen. 

Zu Nummer 37 (§ 35) 

Absatz 2 Satz 2 Nr. 2 ist um die Merkmale von Artikel 8 der 
Richtlinie ergänzt. Im Hinblick auf die Ersetzung der Wör- 
ter „speichernde Stelle“ durch die Wörter „verantwortliche 
Stelle“ wird auf die Begründung zu § 3 Abs. 7 verwiesen. 

Durch die Änderungen in Absatz 2 Satz 2 Nr. 4 wird sicher- 
gestellt, dass bei Daten, die geschäftsmäßig zum Zwecke 
der Übermittlung verarbeitet werden, jeweils nach vier Jah- 
ren eine Überprüfung ihrer Erforderlichkeit erfolgt. 

Hinsichtlich der Einfügung von Absatz 5 wird auf die Be- 
gründung zu § 20 Abs. 5 verwiesen. 

Durch den Wegfall der Regelmäßigkeit der Datenübermitt- 
lung in Absatz 7 als Voraussetzung der Nachberichtspflicht 
(vgl. Absatz 6 a. F.) wird in Umsetzung von Artikel 12 
Buchstabe c der Richtlinie der Anwendungsbereich der 
Nachberichtspflicht erweitert. Gleichzeitig wird - ebenfalls 
in Umsetzung der Richtlinie - sichergestellt, dass die Nach- 
berichtspflicht nur besteht, wenn sie keinen unverhältnismä- 
ßigen Aufwand erfordert. 

Durch die Formulierung „und schutzwürdige Interessen des 
Betroffenen nicht entgegenstehen“ soll verhindert werden, 
dass eine Benachrichtigung zu Lasten des Betroffenen erfol- 
gen kann. 

Die Änderung in Absatz 8 Nr. 1 ist eine Folgeänderung im 
Zusammenhang mit der Ersetzung des Begriffs der spei- 
chernden Stelle durch den der verantwortlichen Stelle (vgl. 
hierzu die Begründung zu § 3 Abs. 7). 


Zu Nummer 38 (Überschrift des Dritten Unterabschnitts 
zum Dritten Abschnitt) 

Die Regelungen über den betrieblichen Beauftragten für den 
Datenschutz wurden im Dritten Abschnitt aufgehoben und 
finden sich nunmehr in den §§ 4f und 4g. Die Überschrift 
des Dritten Unterabschnitts war daher anzupassen. 

Zu Nummer 39 (§ 36) 

Die Aufhebung von § 36 ist eine Folgeänderung im Zusam- 
menhang mit der neu geschaffenen Vorschrift des § 4f. 

Zu Nummer 40 (§ 37) 

Die Aufhebung von § 37 ist eine Folgeänderung im Zusam- 
menhang mit der neu geschaffenen Vorschrift des § 4g. 

Zu Nummer 41 (§ 38) 

Zu Absatz 1 

Artikel 28 der Richtlinie sieht keine Beschränkung der Da- 
tenschutzkontrolle auf eine Anlasskontrohe vor, wie sie in 
Absatz 1 a. F. geregelt war. Die entsprechenden Einschrän- 
kungen in Absatz 1 a. F. waren daher zu streichen, das Wort 
„überprüft“ durch das Wort „kontrolliert“ zur Vereinheitli- 
chung der Terminologie zu ersetzen. Zu den Vorschriften, 
deren Ausführung die Aufsichtsbehörde kontrolliert, zählen 
auch die Verhaltensregeln nach § 38a. Die Ergänzung „ein- 
schließlich ... § 1 Abs. 5“ in Absatz 1 Satz 1 stellt in Über- 
einstimmung mit Artikel 28 Abs. 6 Satz 1 der Richtlinie si- 
cher, dass die Aufsichtsbehörde auch in den Fällen, in denen 
nach § 1 Abs. 5 das Recht anderer Mitgliedstaaten zur An- 
wendung gelangt, zuständig ist. 

Absatz 1 Satz 2, 3 und 5 legt auf der einen Seite die Zweck- 
bindung der von der Aufsichtsbehörde gespeicherten Daten 
fest und regelt andererseits näher die notwendigen Datenü- 
bermittlungen der Aufsichtsbehörde an andere Stellen. 

Durch Absatz 1 Satz 4 wird in Umsetzung von Artikel 28 
Abs. 6 Satz 1 und 2 der Richtlinie die Amtshilfe unter den 
Aufsichtsbehörden der Mitgliedstaaten der Europäischen 
Union geregelt. 

Durch Absatz 1 Satz 6 wird Artikel 28 Abs. 5 der Richtlinie 
umgesetzt. Die gewählte Frist entspricht der Verpflichtung 
des Bundesbeauftragten für den Datenschutz nach § 26 
Abs. 1 Satz 1, alle zwei Jahre einen Tätigkeitsbericht vorzu- 
legen. 

Absatz 1 Satz 7 gewährleistet entsprechend Artikel 28 
Abs. 4 Satz 1 der Richtlinie Betroffenen ein Anrufungsrecht 
gegenüber der Aufsichtsbehörde und steht sicher, dass die 
in § 23 Abs. 5 benannten Vorschriften der Abgabenordnung 
nicht gelten. Ferner beinhaltet Satz 7 eine Anzeigebefugnis 
der Aufsichtsbehörde sowie deren Recht, Betroffene hier- 
über zu informieren. Auf die Begründung zu § 23 Abs. 5 
wird verwiesen. Artikel 28 Abs. 2 der Richtlinie war nicht 
umzusetzen, da die Länder bei der Ausarbeitung von Vor- 
schriften im Sinne des Artikels 28 Abs. 2 der Richtlinie oh- 
nehin angehört werden und diese wiederum gemäß Absatz 6 
die Aufsichtsbehörden bestimmen. Der Bundesbeauftragte 
für den Datenschutz ist gemäß § 26 Abs. 3 bereits gegen- 
wärtig an der Erarbeitung von Rechtsvorschriften zu beteili- 
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gen. Da für die Mitarbeiter der Aufsichtsbehörden und des 
Bundesbeauftragten für den Datenschutz ähnliche Vor- 
schriften über die Verschwiegenheitspflicht gelten (vgl. in- 
soweit für Beamte § 39 BRRG, §§ 61, 62 BBG, für Ange- 
stellte § 9 BAT und Arbeiter § 1 1 MTArb), war Artikel 28 
Abs. 7 der Richtlinie für die Mitarbeiter dieser Behörden 
nicht umzusetzen. 

Zu Absatz 2 

Absatz 2 Satz 1 a. F. konnte aufgehoben werden, da auf- 
grund des Wegfalls der Beschränkung auf die Anlasskon- 
trolle in Absatz 1 der Grund für die unterschiedlichen Re- 
gelungen in den Absätzen 1 und 2 weggefallen ist. Die 
Änderung von Satz 2 ist eine Folgeänderung im Zusam- 
menhang mit der Aufhebung des § 32 Abs. 2 und der neu 
geschaffenen Vorschrift des § 4d Satz 2 entspricht Absatz 
2 Satz 3 a. F. Satz 3 entspricht der Regelung des § 4g 
Abs. 2 Satz 2. 

Zu Absatz 4 

Die Änderung des Verweises in Absatz 4 Satz 2 ist eine Fol- 
geänderung im Zusammenhang mit der Aufhebung der Vor- 
schrift des § 37 Abs. 2 a. F. 

Zu Absatz 5 

Im Hinblick auf die Einfügung des Wortes „Erhebung“ wird 
auf die Begründung zu § 28 Abs. 1, im Hinblick auf die 
Einfügung der Wörter „automatisierte Verarbeitung perso- 
nenbezogener Daten oder die Verarbeitung personenbezoge- 
ner Daten in oder aus nicht automatisierten Dateien“ auf die 
Begründung zu § 3 Abs. 2 verwiesen. 

Zu Nummer 42 (§ 38a) 

Diese Vorschrift setzt Artikel 27 der Richtlinie um. Die Ver- 
haltensregeln des Absatzes 1 sollen als interne Regelungen 
zur ordnungsgemäßen Durchführung datenschutzrechtlicher 
Regelungen beitragen. Berufsverbände und die anderen in 
Absatz 1 genannten Vereinigungen erhalten die Möglich- 
keit, von ihnen erarbeitete Verhaltensregeln der Aufsichts- 
behörde zur Überprüfung vorzulegen. Die Entwürfe sind in 
rechtlicher, technischer und organisatorischer Hinsicht aus- 
reichend zu begründen und auf Verlangen der Aufsichtsbe- 
hörde zu erläutern. 

Die Verpflichtung der Aufsichtsbehörde zur Überprüfung 
ihr vorgelegter Entwürfe anhand geltenden Datenschutz- 
rechts gemäß Absatz 2 soll verhindern, dass Berufsverbände 
und die anderen in Absatz 1 genannten Vereinigungen sich 
interne Verhaltensregeln geben, die im Widerspruch zu den 
gesetzlichen Regelungen stehen. 

Zu Nummer 43 (§ 39) 

Die Änderung in Absatz 1 Satz 1 ist eine Folgeänderung im 
Zusammenhang mit der Ersetzung des Begriffs der spei- 
chernden Stelle durch den der verantwortlichen Stelle (vgl. 
hierzu die Begründung zu § 3 Abs. 7). 


Zu Nummer 44 (§ 40) 

Im Gegensatz zu Absatz 1, der sowohl für öffentliche als 
auch für nicht öffentliche Stellen gilt, enthielt Absatz 2 a. F. 
eine Sonderregelung für die Übermittlung an „andere als öf- 
fentliche Stellen“. Inhaltlich beschränkte sich Absatz 2 a. F. 
auf die Verpflichtung zur Abgabe einer Erklärung zur Ein- 
haltung des Gebotes der Zweckbindung und der Beachtung 
des Absatzes 3 durch die Stelle, an die übermittelt wird. Da 
die Stelle, an die die Daten nach Absatz 2 a. F. übermittelt 
werden, aber ohnehin unter die Regelung des § 40 fällt, die 
Verpflichtungen gemäß der Absätze 1 und 3 a. F. somit gel- 
ten, konnte Absatz 2 aufgehoben werden. 

Zu Nummer 45 (§ 41) 

Zu Absatz 1 

Anstelle der bisher in Absatz 1 enthaltenen Vollregelung be- 
inhaltet Absatz 1 nur noch eine Rahmenvorschrift. Damit 
wird der Änderung von Artikel 75 GG durch das 42. Gesetz 
zur Änderung des Grundgesetzes vom 27. Oktober 1994 
(BGBl. I S. 3146) Rechnung getragen. Da die Ausgestal- 
tung der zu den in Absatz 1 genannten Zwecken erfolgen- 
den redaktionellen Datenverarbeitung mitprägend für die 
Gestaltung der Rechtsverhältnisse der Presse ist und somit 
nur in die Rahmenkompetenz des Bundes fällt, gelten inso- 
weit die übrigen BDSG-Regelungen nicht. Die Vorschrift, 
die damit auf dem Gebiet des redaktionellen Datenschutzes 
lex specialis zu § 1 Abs. 2 Nr. 3 ist, enthält dementspre- 
chend auch keine unmittelbar geltenden Regelungen, son- 
dern gibt für die in die Zuständigkeit der Länder fallende 
Umsetzung lediglich den Mindeststandard der in der Recht- 
sprechung seit dem Volkszählungsurteil des Bundes- 
verfassungsgerichts (BverfGE 65, 1) geforderten daten- 
schutzrechtlichen Regelungen im Bereich der Medien unter 
Berücksichtigung des aufgrund von Artikel 9 der Richtlinie 
bestehenden Änderungsbedarfs vor. 

In Umsetzung von Artikel 9 der Richtlinie erweitert Absatz 1 
den Anwendungsbereich der Datenschutzbestimmungen im 
Rahmen der Verarbeitung personenbezogener Daten durch 
Medien. Artikel 9 der Richtlinie sieht keine Ausnahme von 
den Vorschriften des Dritten Kapitels der Richtlinie - 
Rechtsbehelfe, Haftung und Sanktionen - vor. Die Regelung 
zur Haftung war daher in die Regelung des § 41 einzubezie- 
hen. Entsprechendes gilt für das Fünfte Kapitel der Richtli- 
nie - Verhaltensregeln zur Förderung der Durchführung da- 
tenschutzrechtlicher Regelungen. 

Der Deutsche Presserat wird im Wege der Selbstregulierung 
ergänzende Regelungen treffen. Inhalte dieser Selbstregu- 
lierung werden insbesondere die Erarbeitung von - nicht 
notwendigerweise auf den Anwendungsbereich der §§ 5 
und 9 beschränkten - Verhaltensregeln und Empfehlungen, 
eine regelmäßige Berichterstattung zum redaktionellen Da- 
tenschutz sowie die Schaffung eines Beschwerdeverfahrens 
sein, das Betroffenen die Möglichkeit einer presseintemen 
Überprüfung beim Umgang mit personenbezogenen Daten 
eröffnet. Dieses Konzept ist zu begrüßen, da es in besonde- 
rer Weise geeignet erscheint, den Datenschutz im Medien- 
bereich weiter zu verstärken. Insbesondere vor diesem Hin- 
tergrund besteht nach Auffassung des Bundes keine Veran- 
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lassung für die Länder, über die im Gesetz genannten Vor- 
gaben hinausgehende Regelungen zu treffen. 

Zu Absatz 3 

Die Neufassung passt die Auskunftsregelung an den Stand 
neuerer Vorschriften an (vgl. § 17 Abs. 3 ZDF-Staatsvertrag 
oder § 16 Abs. 3 Mediendienstestaatsvertrag). 

Zu Absatz 4 

Der Kreis der auf die Deutsche Welle anwendbaren Vor- 
schriften des Bundesdatenschutzgesetzes war nach Maß- 
gabe des Artikels 9 der Richtlinie zu erweitern. 

Zu Nummer 46 (§ 42) 

Die Änderungen in Absatz 5 Satz 2 sind Folgeänderungen 
im Zusammenhang mit der Schaffung einheitlicher Vor- 
schriften für den internen Beauftragten für den Datenschutz 
(§§ 4f und 4g). Diese Regelungen über den internen Beauf- 
tragten für den Datenschutz, die erstmals auch für den be- 
hördlichen Bereich Anwendung finden, gelten damit aus- 
drücklich im Bereich der Deutschen Welle. Hierdurch er- 
fährt insbesondere auch der Datenschutzbeauftragte der 
Deutschen Welle eine deutliche Aufwertung. 

Zu Nummer 47 (§ 43) 

Der Formulierung „von diesem Gesetz geschützte“ in Ab- 
satz 1 vor Nummer 1 sowie in Absatz 2 Nr. 1 kam kein ei- 
genständiger Regelungsinhalt zu. Er war daher zu streichen. 
Die Änderungen in Absatz 1 Nr. 1 passen die Terminologie 
der Strafvorschriften an die des übrigen Bundesdatenschutz- 
gesetzes an. 

Die Änderung der Verweise in Absatz 2 Nr. 2 ist eine Folge- 
änderung im Zusammenhang mit der Einfügung eines neuen 
Absatzes 3 in § 29. 

Die Änderung der Verweise in Absatz 2 Nr. 3 ist eine Folge- 
änderung im Zusammenhang mit der Aufhebung von § 40 
Abs. 2 a. F. 

Der Zusatz in Absatz 4 ist durch die Ergänzung des § 23 
Abs. 5 durch einen Satz 7 erforderlich geworden. Danach 
steht dem Bundesbeauftragten für den Datenschutz eine An- 
zeigebefugnis in Umsetzung des Artikels 28 Abs. 3 dritter 
Spiegelstrich der Richtlinie zu. 

Entsprechendes gilt nach § 38 Abs. 1 Satz 7 für die Auf- 
sichtsbehörden der Länder für den nicht öffentlichen Be- 
reich. Die Aufnahme der verantwortlichen Stelle ist sachge- 
recht, damit sich diese gegen einen Missbrauch der von ihr 
gespeicherten Daten zur Wehr setzen kann. 

Zu Nummer 48 (§ 44) 

Zu Absatz 1 Nr. 2 

Die Änderung der Verweise in Absatz 1 Nr. 2 ist eine Folge- 
änderung im Zusammenhang mit der Aufhebung von § 32 
sowie mit der Schaffung der neuen Vorschriften der §§ 4d 
und 4e. 


Zu Absatz 1 Nr. 4 

Die Änderung ist eine Folgeänderung im Zusammenhang 
mit der Einfügung eines neuen Absatzes 5 in § 35. 

Zu Absatz 1 Nr. 5 

Die Änderung des Verweises in Absatz 1 Nr. 5 ist eine Fol- 
geänderung im Zusammenhang mit der Aufhebung von 
§ 36 sowie mit der Schaffung der neuen Vorschrift des § 4f. 

Sachlich zuständig für die Durchführung des Ordnungswid- 
rigkeitsverfahrens ist nach § 36 Abs. 1 Nr. 2b OWiG der 
fachlich zuständige Bundesminister, soweit das Gesetz von 
Bundesbehörden ausgeführt wird. 

Zu Nummer 49 (Überschrift des Sechsten Abschnitts) 

Zur Verdeutlichung des Übergangscharakters von §§ 45 und 
46 waren beide Vorschriften in einem neuen Sechsten Ab- 
schnitt zusammenzufassen. 

Zu Nummer 50 (§§ 45 und 46) 

Zu §45 

Die Vorschrift setzt Artikel 32 Abs. 2 der Richtlinie um. Er 
gestattet einen Anpassungszeitraum von maximal drei Jah- 
ren ab Inkrafttreten des Gesetzes für solche Erhebungen, 
Verarbeitungen oder Nutzungen personenbezogener Daten, 
die zum Zeitpunkt des Inkrafttretens der Änderungen des 
Bundesdatenschutzgesetzes bereits begonnen haben. 

§ 45 gilt auch in den Rechtsbereichen, die nicht in den An- 
wendungsbereich der Richtlinie fallen, soweit die Vorschrif- 
ten des BDSG in den jeweiligen bereichsspezifischen Ge- 
setzen zur Anwendung gelangen. Hierfür enthält Satz 2 eine 
Sonderregelung. 

Zu §46 

Da es aus zeitlichen Gründen nicht möglich ist, das gesamte 
bereichsspezifische Datenschutzrecht bereits in der 1. Ge- 
setzgebungsstufe an die neue Terminologie des BDSG an- 
zupassen, wird angeordnet, dass die bisherigen Definitionen 
der Begriffe Datei, Akte und Empfänger zunächst weitergel- 
ten sollen. Es ist beabsichtigt, in der 2. Novellierungsstufe 
die Anpassung des bereichsspezifischen Datenschutzrechts 
an die Richtlinie umfassend zu überprüfen. 

Absatz 1 entspricht § 3 Abs. 2 a. F., Absatz 2 § 3 Abs. 3 
a. F. und Absatz 3 § 3 Abs. 9 a. F. 

Zu Nummer 51 (Anlage zu § 9 Satz 1) 

Die Anlage zu § 9 wurde gestrafft (Einfügung von Nummer 
10 a. F. in Satz 1 vor Nummer 1, Zusammenführung von 
den Nummern 2, 3 und 5 a. F. als Teil von Nummer 3), um 
die Anforderungen der Richtlinie ergänzt (insbesondere 
Nummer 7 n. F.), sprachlich überarbeitet (Nummer 1 bis 5) 
sowie den heutigen Gegebenheiten der Informations- und 
Kommunikationstechnik angepasst (Nummer 4 und 5). All- 
gemein gilt, dass Schutzzweck und Aufwand maßgeblich 
für die Festlegung der Einzelmaßnahmen sind, d. h. dass 
Einzelmaßnahmen so gewählt werden müssen, dass der 
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Schutz der einzelnen gespeicherten Daten konkret gewähr- 
leistet wird. 

Im Einzelnen: 

1 . Die Erweiterung um den Begriff der Nutzung in Satz 1 , 
vor Nummer 1 , sowie in Nummer 1 beruht auf Artikel 3 
Abs. 1 in Verbindung mit Artikel 2 Buchstabe b der 
Richtlinie. 

2. Die Einfügung „Datenkategorien“ in Satz 1 vor Num- 
mer 1 ist eine Anpassung an die Terminologie der 
Richtlinie. Auf Artikel 19 Abs. 1 Buchstabe c der Richt- 
linie sowie die Begründung zu § 4e Satz 1 Nr. 5 wird 
verwiesen. 

3. Bei den Nummern 1, 2 und 3 (Nummer 1, 2, 3, 4 und 5 
a. F.) wurde der gesetzliche Wortlaut der gebräuchlichen 
informationstechnischen Terminologie angepasst: Zutritt 
im Sinne der Nummer 1 ist ausschließlich räumlich zu 
verstehen, erfasst daher den räumlichen Zutritt durch un- 
befugte (externe) Personen. Nummer 1 a. F. war demge- 
genüber sprachlich unklar und gab Anlass zu unter- 
schiedlichen Interpretationen. 

Zugang im Sinne der Nummer 2 (Nummer 4 a. F.) erfasst 
das Eindringen in das EDV-System selbst seitens unbe- 
fugter (externer) Personen. 

Durch den Verzicht auf die Formulierung „mit Hilfe von 
Einrichtungen zur Datenübertragung“ in Nummer 2 
wurde gegenüber der bisherigen Nummer 4 a. F. der An- 
wendungsbereich neben dem bereits erfassten Schutz des 
Zugangs über Datenübertragungseinrichtungen auf den 
Schutz des lokalen Zugangs zum System erweitert. Zu- 
griff im Sinne der Nummer 3 schließlich erfasst die Tä- 
tigkeit innerhalb des EDV-Systems durch einen grund- 
sätzlich Berechtigten außerhalb seiner Berechtigung. 
Nummer 3 entspricht in ihrem ersten Teil vollständig 
Nummer 5 a. F. und beinhaltet in ihrem zweiten Teil eine 
teilweise Zusammenfassung von den Nummern 2 und 3 
a. F.; die Überschneidungen dieser Nummern der alten 
Fassung werden beseitigt. Auf den Begriff „Löschung“ 
in den Nummern 3 und 9 a. F. konnte verzichtet werden, 
da er im informationstechnischen Sinn vom Begriff „Ver- 
änderung“ mit umfasst wird. 

4. Nummer 4 fasst sämtliche Aspekte der Weitergabe perso- 
nenbezogener Daten, also elektronische Übertragung, 
Datenträgertransport und Übermittlungskontrolle, unter 
dem Begriff „Weitergabekontrolle“ zusammen. Zu ergän- 
zen war Nummer 4 um den Begriff der „elektronischen 
Übertragung“. Der zweite Teil von Nummer 4 entspricht 
im Wesentlichen Nummer 6 a. F. 

Die in der neuen Fassung von Nummer 4, zweiter Teil 
durch die vorgenommene Änderung („vorgesehen“ an- 
stelle von „werden können“) gegenüber Nummer 6 a. F. 
erfolgte Eingrenzung ist angesichts der technischen Ent- 
wicklung - weitgehend unbegrenzte Möglichkeit zur Da- 
tenübertragung als Normalfall - notwendig. 

5. Nummer 5 stellt im Gegensatz zur bisherigen Fassung 
(Nummer 7 a. F.) nicht mehr in erster Linie auf die einge- 
gebenen Daten ab („welche“), sondern maßgeblich auf 
den Zugang („ob“). Dies war erforderlich, da die Praxis 


erwiesen hat, dass die bisherige Fassung überzogene, 
nicht praktikable Anforderungen stellte. Gleichzeitig 
wurde der Anwendungsbereich der Nummer 5 um die 
nachträgliche Überprüfung und Feststellung der Verände- 
rung oder Entfernung ergänzt. 

6. Nummer 6 entspricht unverändert Nummer 8 a. F. 

7. Die in Nummer 7 neu aufgenommene Verfügbarkeits- 
kontrolle beruht auf Artikel 17 Abs. 1 der Richtlinie. 
Schutz vor zufälliger Zerstörung oder Verlust meint bei- 
spielsweise Schutz vor Wasserschäden, Blitzschlag oder 
Stromausfall. Beispiel für eine insoweit zu treffende Si- 
cherungsmaßnahme ist etwa das Erstellen zusätzlicher 
Sicherungskopien, die an besonders geschützten Orten 
gelagert werden. 

8. Die Regelung in Nummer 8 beinhaltet in Anlehnung an 
die Regelung des § 4 Abs. 2 Nr. 4 TDDSG ein grundsätz- 
liches Trennungsgebot zu unterschiedlichen Zwecken er- 
hobener Daten. Dieses Trennungsgebot findet in den Fäl- 
len eine Einschränkung, in denen ein Informationssystem 
daraufhin konzipiert ist, dass gesetzlich im Regelfall zu- 
gelassenen Zweckänderungen Rechnung getragen wer- 
den soll. 

Zu Artikel 2 (Änderung des Bundesverfassungs- 
schutzgesetzes) 

Die Neufassung der Konkurrenzklausel ist überwiegend 
durch die im Rahmen der Novellierung geänderte Zählweise 
der Vorschriften im Bundesdatenschutzgesetz bedingt. 

Da die Geltung der Richtlinie auf das EG-Recht (1. Säule des 
EU-Vertrages) begrenzt ist und der Bereich der öffentlichen 
Sicherheit dort ausdrücklich ausgenommen ist (Artikel 3 
Abs. 2), betreffen die Ausnahmen teilweise auch solche Vor- 
gaben der Richtlinie, die im Anwendungsbereich der Sicher- 
heitsgesetze nicht gelten sollen oder dort speziell geregelt 
sind. Der Entwurf sieht vor, dass einige gemäß der Richtlinie 
neu gefasste Vorschriften des Bundesdatenschutzgesetzes 
grundsätzlich auch im Sicherheitsbereich Anwendung fin- 
den (Bestellung behördlicher Datenschutzbeauftragter, §§ 4f 
und 4g; Regelung zur automatisierten Einzelentscheidung, 
§ 6a). Noch in dieser Legislaturperiode wird das gesamte be- 
reichspezifische Datenschutzrecht umfassend daraufhin zu 
überprüfen sein, ob weitere Anpassungen an die Richtlinie 
geboten sind, auch soweit keine europarechtliche Umset- 
zungspflicht besteht. Nur so kann vermieden werden, dass 
auf Dauer zweierlei Datenschutzrecht mit unterschiedlichem 
Schutzniveau besteht. 

Zu Artikel 3 (Änderung des MAD-Gesetzes) 

Auf die Begründung zu Artikel 2 wird verwiesen. 

Zu Artikel 4 (Änderung des BND-Gesetzes) 

Auf die Begründung zu Artikel 2 wird verwiesen. 

Zu Artikel 5 (Änderung des Sicherheitsüberprü- 
fungsgesetzes) 

Auf die Begründung zu Artikel 2 wird verwiesen. 
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Zu Artikel 6 (Änderung des Bundesgrenzschutzge- 
setzes) 

Auf die Begründung zu Artikel 2 wird verwiesen. 

Zu Artikel 7 (Änderung des Bundeskriminalamtge- 
setzes) 

Auf die Begründung zu Artikel 2 wird verwiesen. 

Zu Artikel 8 (SGB) 

Die Änderungen des Ersten und Zehnten Buches Sozialge- 
setzbuch dienen der Anpassung des Sozialdatenschutzes an 
die Richtlinie 95/46/EG des Europäischen Parlaments und 
des Rates vom 24. Oktober 1995 (ABI. EG L Nr. 281 vom 
23. November 1995, S. 31 ff; im Folgenden: Richtlinie). 

Die Gesetzgebungskompetenz des Bundes beruht auf Arti- 
kel 74 Nr. 12 GG. Eine einheitliche Regelung durch den 
Bund zur Erzielung eines einheitlichen Datenschutzstan- 
dards ist zur Wahrung der Rechtseinheit im gesamtstaatli- 
chen Interesse zwingend erforderlich. 

Durch die Folgeänderungen der Richtlinie im Sozialdaten- 
schutz des Ersten und Zehnten Buches Sozialgesetzbuch ent- 
stehen für die sozialen Sicherungssysteme durch den Vollzug 
des Gesetzes wie bei öffentlichen Haushalten (vgl. Artikel 1 
des Entwurfs) derzeit nicht absehbare Kosteneffekte. 

Zu § 1 (SGB 1) 

Folgeänderung zur neuen Fassung der automatisierten Ver- 
arbeitung und nicht automatisierten Datei in § 3 Abs. 2 
BDSG sowie in § 67 Abs. 3 SGB X. 

Zu § 2 (SGB X) 

Zu Nummer 1 (§ 67) 

Zu Buchstabe a 

ln Absatz 3 wird entsprechend § 3 Abs. 2 BDSG die auto- 
matisierte Verarbeitung und die nicht automatisierte Samm- 
lung von Sozialdaten neu gefasst; § 46 BDSG gilt insoweit 
nicht. 

Zu Buchstabe b 

Durch Streichung des Absatzes 4 wird wie im Bundesdaten- 
schutzgesetz aus Gründen der Transparenz auf die Defini- 
tion des Begriffs „Akte“ verzichtet. 

Zu den Buchstaben c, d, f und g 

Der Begriff „Empfänger“ hat durch die Richtlinie einen an- 
deren Inhalt als im bisherigen deutschen Datenschutzrecht 
erhalten. Er umfasst außer einem Dritten im Sinne von § 67 
Abs. 10 SGB X auch den von der Datenverarbeitung Be- 
troffenen, den Auftragsdatenverarbeiter und die verschiede- 
nen Organisationseinheiten innerhalb der speichernden 
Stelle. Zur Beschränkung des Anwendungsbereichs auf das 
gesetzlich Gewollte wird in Anlehnung an die Änderungen 
in Artikel 1 das Wort „Empfänger“ durch die Wörter „Drit- 
ter, an den die Daten übermittelt werden“ ersetzt. Ergibt sich 


allerdings, wie in § 67 SGB X, aus dem Gesetzestext, dass 
der Dritte nur ein solcher sein kann, an den die Daten über- 
mittelt werden, beschränkt sich die Gesetzesänderung da- 
rauf, das Wort „Empfänger“ durch das Wort „Dritten“ zu er- 
setzen. 

§ 67 Abs. 10 Satz 2 und 3 entspricht § 3 Abs. 8 Satz 2 und 3 
BDSG. 

Im Übrigen wird die „speichernde Stelle“ in Anlehnung an 
die Richtlinie und das BDSG als „verantwortliche Stelle“ 
bezeichnet. 

Zu Buchstabe e 

Der Begriff „Pseudonymisieren“ wird wie im § 3 BDSG 
neu eingeführt und definiert, da in § 78b SGB X erstmals 
der vorrangige Einsatz (anonymer und) pseudonymer For- 
men der Datenverarbeitung vorgesehen ist. 

Zu Buchstabe h 

Absatz 12 definiert die in Artikel 8 Abs. 1 der Richtlinie be- 
zeichneten besonderen Kategorien personenbezogener Da- 
ten. 

Zu Nummer 2 (§ 67a) 

Zu Buchstabe a 

§ 67a Abs. 1 Satz 2 bis 4 setzt Artikel 8 Abs. 2 in Verbindung 
mit den Absätzen 3 und 4 der Richtlinie (Verarbeitung be- 
sonderer Kategorien personenbezogener Daten) unter Be- 
rücksichtigung des bereits erreichten anerkannt hohen Ni- 
veaus des Sozialdatenschutzes, der besonderen Gegebenhei- 
ten und des öffentlichen Interesses im Sozialleistungsbereich 
um. Die Vorschrift stellt einen für den Betroffenen verständ- 
lichen und transparenten, verwaltungsgerechten Ver- 
fahrensablauf sicher und entspricht auch Artikel 8 Abs. 4 der 
Richtlinie in Verbindung mit dem Erwägungsgrund 34. 

Die Erhebung und Verarbeitung von Daten ethnischer Her- 
kunft und religiöser oder philosophischer Überzeugungen ist 
beispielsweise wegen der Regelungen über die Anerkennung 
von Ersatzzeiten in der gesetzlichen Rentenversicherung 
(§ 250 Abs. 1 Nr. 4 SGB VI; vgl. aber auch § 245 Abs. 2 Nr. 
6 SGB VI) und der Voraussetzungen des Gesetzes zur Rege- 
lung der Wiedergutmachung nationalsozialistischen Un- 
rechts in der Sozialversicherung erforderlich, da die Leis- 
tungsvoraussetzungen an den Verfolgtenbegriff des Bundes- 
entschädigungsgesetzes anknüpfen. Auch das Fremdrenten- 
gesetz setzt Erhebungen dieser Art von Daten voraus. 
Angaben über politische Meinungen sind z. B. notwendig 
bei der Bearbeitung von Ansprüchen nach dem Beruflichen 
Rehabilitierungsgesetz. Insgesamt sind die in § 67 Abs. 12 
SGB X aufgezählten Angaben notwendig bei der Aufgaben- 
erfüllung nach dem Dritten Buch Sozialgesetzbuch, z. B. bei 
der Arbeitsvermittlung in Tendenzbetriebe. Ohne die Kennt- 
nis von Angaben über das Sexualleben könnten künftig im 
Einzelfall medizinische Leistungen nicht im notwendigen 
Umfang bewilligt werden, z. B. bei Rehabilitationsmaßnah- 
men. 

Eine Weiterübermittlung der Daten an einen anderen Leis- 
tungsträger ist im Rahmen des § 67b zulässig. 
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Zu Buchstabe b 

Die Vorschrift wird aufgrund von Artikel 10 Buchstabe a 
und b der Richtlinie (Information der betroffenen Person bei 
der Erhebung personenbezogener Daten bei ihr selbst) geän- 
dert und grundsätzlich an § 4 Abs. 3 BDSG angepasst. Es 
sind nur der Erhebungszweck und die Zweckänderungen 
anzugeben, die im Zeitpunkt der Erhebung abzusehen sind. 

Satz 2 (neu) trägt der von der Richtlinie geforderten „Da- 
tenverarbeitung nach Treu und Glauben“ (vgl. Erwägungs- 
grund 38 und Artikel 6 Abs. la, Artikel 10 letzter Halb- 
satz der Richtlinie) Rechnung. Eine umfassende und ord- 
nungsgemäße Unterrichtung des Betroffenen über die Be- 
dingungen einer Datenerhebung bei ihm selbst, wie sie die 
Richtlinie fordert, ist auch dann nach Treu und Glauben 
sichergesteht, wenn er nicht über interne organisatorische 
Stufen der Verarbeitung oder Nutzung seiner Daten inner- 
halb einer in § 35 SGB 1 genannten Stelle, z. B. eines Leis- 
tungsträgers einschließlich der entsprechenden Verbände 
und Arbeitsgemeinschaften, unterrichtet wird. Das Gleiche 
muss gelten, wenn etwa eine Kategorie von Leistungsträ- 
gern gesetzlich zur engen Zusammenarbeit verpflichtet ist, 
wie es beispielsweise § 5 Rehabilitationsangleichungsge- 
setz vorsieht. Hinzu kommt, dass der Betroffene in diesen 
Fällen der Übermittlung an andere Sozialleistungsträger in 
den allermeisten Fällen bereits unterrichtet sein dürfte, um 
eine verfahrensmäßige Verzögerung zu vermeiden. Der Be- 
troffene muss in diesen Fällen jedenfalls mit einer Nut- 
zung innerhalb des Sozialleistungsträgers bzw. der Über- 
mittlung an andere Träger rechnen. Im Übrigen ist die Not- 
wendigkeit zur engen Zusammenarbeit lediglich eine Folge 
des gegliederten Systems der sozialen Sicherheit in der 
Bundesrepublik Deutsehland. Die Richtlinie lässt es nach 
Artikel 5 zu, dass die Mitgliedstaaten ihrer Rechtstradition 
Rechnung tragen und situationsspezifische Konkretisierun- 
gen treffen. 

Zu Buchstabe c 

Artikel 1 1 der Richtlinie schreibt umfangreiche Benachrich- 
tigungspflichten vor, wenn Daten nicht beim Betroffenen 
erhoben worden sind. Die Neuregelung übernimmt weitge- 
hend § 19a BDSG. Die Sozialleistungsträger müssen in ih- 
rer Aufgabenstellung eng Zusammenarbeiten; dieser Not- 
wendigkeit trägt § 69 Abs. 1 Nr. 1 SGB X Rechnung. Eine 
Unterrichtung des Betroffenen bei einer Datenerhebung 
ohne seine Kenntnis bei einer Stelle, die in § 35 SGB I ge- 
nannt worden ist, würde einen unverhältnismäßigen Auf- 
wand im Sinne von Artikel 11 Abs. 2 der Richtlinie erfor- 
dern. Der Betroffene ist also in diesen Fällen weder von der 
Speicherung noch von der Identität der verantwortlichen 
Stelle noch von der Zweckbestimmung der Verarbeitung zu 
unterrichten. Außerdem ist in § 69 Abs. 1 Nr. 1 SGB X eine 
Vorschrift zu sehen, die die Datenübermittlung ausdrücklich 
zulässt und in Verbindung mit Amtshilfeverpflichtungen so- 
wie der Verpflichtung zur Zusammenarbeit der Träger un- 
tereinander nach § 86 SGB X zu einer Verpflichtung wird. 
Diese Voraussetzungen sind bei Erhebungen unter den in 
§ 35 SGB I genannten Stellen regelmäßig gegeben. Damit 
wird den Anforderungen der Richtlinie entsprochen; die ge- 
setzliche Regelung macht die Situation für den Betroffenen 


berechenbar, indem sie ihm mit hinreichender Wahrschein- 
lichkeit die Möglichkeit verschafft, in Erfahrung bringen zu 
können, welche verantwortliche Stelle zu welchem Zweck 
welche Daten verarbeitet. Deshalb wird entsprechend Arti- 
kel 1 1 Abs. 2 der Richtlinie bei einer Datenerhebung im 
Rahmen der Stellen, die in § 35 SGB I genannt sind, eine 
Benachrichtigungspflicht von vornherein ausdrücklich ge- 
setzlich ausgeschlossen. 

Zu den in Absatz 5 Satz 2 Nr. 3 genannten gesetzlichen Re- 
gelungen einer Speicherung oder Übermittlung zählen alle 
aufgrund eines Gesetzes vorgesehenen Regelungen, nicht 
nur z. B. die des SGB X, sondern auch die in den sonstigen 
Büchern des Sozialgesetzbuches. 

Durch Absatz 5 Satz 5 wird das Erfordernis der „geeigneten 
Garantien“ gemäß Artikel 1 1 Abs. 2 Satz 2 der Richtlinie 
umgesetzt. 

Absatz 5 Satz 6 stellt sicher, dass auch in den Fallkonstella- 
tionen des § 83 Abs. 2 bis 4 SGB X die Pflicht zur Unter- 
richtung des Betroffenen entfällt. 

Im Übrigen wird auf die Begründung zu Buchstabe b ver- 
wiesen. 

Zu Nummer 3 (§ 67b) 

Zu Buchstabe a 

Auf die Begründung zu Nummer 2 Buchstabe a wird ver- 
wiesen; ergänzend wird geregelt, dass die Übermittlung ei- 
ner besonderen Kategorie von Sozialdaten ohne besondere 
Einwilligung des Betroffenen unzulässig ist. Eine Aus- 
nahme für die Datenübermittlung gilt nur für Daten über die 
Gesundheit oder das Sexualleben sowie für die Übermitt- 
lung der in § 67 Abs. 12 SGB X genannten Daten zwischen 
den Trägem der gesetzlichen Rentenversichemng oder zwi- 
schen diesen und dem VDR bzw. der Datenstelle, die ledig- 
lich wegen des gegliederten Systems innerhalb der GRV 
notwendig wird. Sonstige gesetzliche Vorschriften zur Da- 
tenübermittlung, wie § 76 SGB X und § 200 Abs. 2 
SGB VII, bleiben unberührt. Für die Nutzung und Verarbei- 
tung außerhalb der Datenübermittlung dieser besonderen 
Kategorie von Daten gilt § 67a Abs. 1 entsprechend. 

Zu Buchstabe b 

Angleichung an § 4a Abs. 1 BDSG. 

Zu Buchstabe c 

Folgeändemng zu Buchstabe b. 

Zu Buchstabe d 

Die Vorschrift setzt Artikel 15 der Richtlinie um; sie soll 
verhindern, dass Entscheidungen aufgmnd von Persönlich- 
keitsprofilen ergehen, ohne dass der Betroffene die zu- 
grande liegenden Angaben und Bewertungsmaßstäbe er- 
fährt. 

Zu Nummer 4 (§ 67c Abs. 1 und 3) 

Folgeändemng zu der Richtlinie (vgl. zu Nummer 1). 
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Zu Nummer 5 (§ 67d Abs. 2 und 3) 

Zu Buchstabe a 

Auf die Begründung zu Nummer 1 wird verwiesen. 

Zu Buchstabe b 

Angleichung an § 15 Abs. 5 BDSG. 

Zu Nummer 6 (§ 69 Abs. 1) 

Auf die Begründung zu Nummer 1 wird verwiesen. 

Zu Nummer 7 (§ 75 Abs. 2 und 4) 

Zu Buchstabe a 

Auf die Begründung zu Nummer 1 wird verwiesen. 

Zu Buchstabe b 

Angleichung an die Regelung des BDSG. 

Zu Nummer 8 (§ 76 Abs. 2) 

Folgeänderung zu der Richtlinie (vgl. zu Nummer 1). 

Zu Nummer 9 (§ 77) 

Zu Absatz 1 

Entsprechend dem umfassenden Geltungsanspruch der 
Richtlinie auf dem Gebiet der sozialen Sicherheit und deren 
Ziel, das Schutzniveau der Daten in den Mitgliedstaaten der 
Europäischen Union anzugleichen und besondere Hemm- 
nisse für den Datenverkehr zwischen den Mitgliedstaaten zu 
beseitigen, lässt Absatz 1 die Übermittlung von Sozialdaten 
zwischen Sozialleistungsträgern und zu anderen Stellen, so- 
weit es der Aufgabenerfüllung eines Sozialleistungsträgers 
dient, im notwendigen Umfang zu (Nummer 1). Sollen die 
Daten darüber hinaus an andere ausländische Stellen, aber 
von einem Sozialleistungsträger übermittelt werden, schrei- 
ben die Nummern 2 und 3 einen engen Rahmen vor; dieser 
wird nach Absatz 3 Satz 1 insbesondere bei Einwilligung 
des Betroffenen, bei Anwendung zwischenstaatlicher Über- 
einkommen oder für die Durchführung von Strafverfahren 
(§ 73 SGB X) praxisgerecht erweitert. 

Die deutschen Träger sind im Ersten Buch Sozialgesetzbuch 
ihrer Art nach genau bezeichnet. In den Mitgliedstaaten gibt 
es zum Teil erheblich unterschiedliche Organisationsstruk- 
turen. In Absatz I wird klargestellt, dass es im Datenverkehr 
über Grenzen auf die Funktionsgleichheit zwischen deut- 
schen und ausländischen Stellen in den Mitgliedstaaten an- 
kommt. Es muss nicht die gesamte ausländische Behörde 
die gleiche Funktion wie die deutsche haben. Es genügt be- 
reits partielle Funktionsgleichheit. Es wird davon ausgegan- 
gen, dass sich die zuständigen Verwaltungseinheiten im In- 
land zur Wahrung einer einheitlichen Rechtsanwendung auf 
eine gemeinsame Beurteilung ausländischer Stellen verstän- 
digen. Die Übermittlung an andere Stellen als Sozialleis- 
tungsträger ist - soweit überhaupt - nur in dem Umfang zu- 
lässig, in dem es im Inland gestattet wäre. 


Zu Absatz 2 

In Anlehnung an die Vorschriften des BDSG (§§ 4b, 4c) 
wird unter Berücksichtigung sozialrechtlicher Erfordernisse 
die Übermittlungsbefugnis ins Ausland außerhalb der Mit- 
gliedstaaten der EU sowie an über- und zwischenstaatliche 
Stellen, die ein angemessenes Datenschutzniveau gewähr- 
leisten, auf den in Absatz 1 innerhalb der EG zulässigen 
Umfang begrenzt. Die Zwecke der Übermittlung sind ge- 
setzlich festgelegt. Darüber hinaus ist eine Übermittlung 
(wie in Fällen des Absatzes 1) entsprechend Absatz 3 Satz 1 
zulässig. 

Eine Bezugnahme auf § 16 Abs. 1 BDSG war nicht erfor- 
derlich, da insoweit die besonderen Regelungen im Zweiten 
Kapitel des Zehnten Buches Sozialgesetzbuch gelten, insbe- 
sondere § 69 Abs. 1 Nr. 1 SGB X. Die Übernahme von § 4b 
Abs. 4 BDSG wird von der Richtlinie nicht verlangt; auf 
§ 67a Abs. 5 des Entwurfs wird verwiesen. In § 67d Abs. 2 
SGB X ist generell bestimmt, dass im Bereich des Sozialda- 
tenschutzes die übermittelnde Stelle die Verantwortung für 
die Richtigkeit der übermittelten Daten trägt. Eine Über- 
nahme von § 4b Abs. 5 BDSG war daher nicht erforderlich. 
Um eine bundeseinheitliche Handhabung zu gewährleisten 
und Haftungsprobleme zu vermeiden, soll das Bundesversi- 
cherungsamt für die inländischen übermittelnden Stellen 
feststellen, ob ein angemessenes Datenschutzniveau ge- 
währleistet ist. 

Zu Absatz 3 

Die Regelung lässt eine Datenübermittlung ins Ausland 
nach Absatz 3 Satz 1 unabhängig vom Vorliegen der Vor- 
aussetzungen der Absätze 1 und 2, also z. B. in den Fällen 
des § 7 1 SGB X oder auch bei nicht angemessenem Daten- 
schutzniveau, aber auch solange dessen Vorliegen nicht ge- 
klärt ist, zu, wenn der Betroffene einwilligt oder entspre- 
chende zwischenstaatliche Abkommen vorliegen. Außer- 
dem wird die Zulässigkeit der Datenübermittlung für die 
Durchführung eines Strafverfahrens (§ 73 SGB X) oder ei- 
nes gerichtlichen Verfahrens nach § 69 Abs. 1 Nr. 2 SGB X 
hier geregelt, weil sich die Richtlinie nicht auf diesen Be- 
reich erstreckt. Durch die Bezugnahme auf Absatz 2 in Ab- 
satz 3 Nr. 3 wird klargestellt, dass in diesen Fällen auch das 
Bundesversicherungsamt die Angemessenheit des Daten- 
schutzniveaus feststellt, solange die EU-Entscheidung noch 
aussteht. Solange solche Entscheidungen nicht vorliegen, 
hat in den Fällen des § 73 SGB X allein das inländische Ge- 
richt zu entscheiden. 

Diese Regelungen gelten nicht, wenn schutzwürdige Be- 
lange des Betroffenen berührt sind. 

Zu Absatz 4 

Nach Absatz 4 ist die Übermittlung bei unzureichendem 
Datenschutzniveau auch in den dort genannten Fällen zu- 
lässig. Eine Übermittlung nach § 69 Abs. 1 Nr. 1 dritte Va- 
riante SGB X scheidet aus, weil die ausländischen Stellen 
den inländischen - entgegen der Regelung in § 77 Abs. 1 
Nr. 1 und Abs. 3 Satz 1 Nr. 3 SGB X - nicht gleichgestellt 
sind. 

Diese Regelungen gelten nicht, wenn schutzwürdige Be- 
lange des Betroffenen berührt sind. 
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Zu Absatz 5 

Die empfangende Stelle ist in den Fällen des § 77 Abs. 1 
bis 4 SGB X - wie im bisher geltenden Recht - auf die 
Zweckbindung hinzuweisen. 

Zu Absatz 6 

Um die Erfüllung der in Artikel 25 Abs. 3 und Artikel 26 
Abs. 3 der Richtlinie geregelten Unterrichtungspflichten zu 
ermöglichen, unterrichtet das Bundesversicherungsamt das 
Bundesministerium des Innern über Drittstaaten und über- 
und zwischenstaatliche Stellen ohne angemessenes Daten- 
schutzniveau. Das Bundesministerium des Innern nimmt in- 
soweit als zentrale Stelle die oben genannten Unterrich- 
tungspflichten für die Bundesrepublik Deutschland wahr. 

Zu Nummer 10 (§ 78) 

Auf die Begründung zu Nummer 1 wird verwiesen. 

Zu Nummer 11 (§ 78a) 

Da Artikel 2 Buchstabe b der Richtlinie auch die Erhebung 
und Nutzung einbezieht, war entsprechend dem § 9 BDSG 
die Vorschrift zu ergänzen. 

Zu Nummer 12 (§§ 78b, 78c) 

Entsprechend den Änderungen des BDSG (§§ 3a und 9a) sol- 
len auch für den Bereich der Sozialdaten der Grundsatz der 
Datenvermeidung und Datensparsamkeit (§ 78b SGB X) so- 
wie die Regelung zum Datenschutzaudit (§ 78c) aufgenom- 
men werden. 

Zu Nummer 13 (§ 79) 

Auf die Begründung zu Nummer 1 wird verwiesen. 

Zu Nummer 14 (§ 80) 

Zu den Buchstaben a bis e 

Die Regelung bezieht - entsprechend der bisherigen Praxis 
- die Erhebung von Sozialdaten ausdrücklich in die Bestim- 
mung über die Erledigung von Aufgaben im Auftrag ein. 

Zu Buchstabe f 

Folgeänderung zu Änderungen des BDSG. 

Zu Buchstabe g 

Folgeänderung zu Änderung des BDSG (§11 Abs. 5). Da- 
mit Wartungsarbeiten verwaltungsökonomisch und effizient 
durchgeführt werden können, soll die Mitteilungsverpflich- 
tung gegenüber der Aufsichtsbehörde so gestaltet werden, 
dass Verzögerungen in der Abwicklung von Sozialleistun- 
gen zu Lasten des Leistungsempfängers nicht eintreten. 

Zu Nummer 15 (§ 81) 

Zu Buchstabe a 

In der alten Fassung des Absatzes 2 war nur auf § 24 Abs. 2 
Satz 1 BDSG Bezug genommen worden; die folgenden 


Sätze geben den Betroffenen ein Widerspruchsrecht gegen 
Kontrollen des Bundesdatenschutzbeauftragten bei Daten, 
die dem Arztgeheimnis unterliegen. Die Einschränkung des 
Kontrollrechts wurde durch die bisherige Form der Bezug- 
nahme nicht ins Sozialgesetzbuch übernommen. Da diese 
Einschränkung in § 24 BDSG nicht mehr enthalten ist, kann 
die ganze Vorschrift in Bezug genommen werden. 

Zu Buchstabe b 

Die §§ 36 und 37 BDSG, auf die Bezug genommen wird, 
werden durch Artikel 1 gestrichen. Die Meldepflicht für au- 
tomatische Datenverarbeitung (§ 4d Abs. 1 BDSG) entfällt 
nach § 4d Abs. 2 BDSG, wenn die speichernde Stelle einen 
Beauftragten für den Datenschutz bestellt. Da § 8 1 Abs. 4 
SGB X, der in der neuen Fassung auf die §§ 4f und 4g 
BDSG Bezug nimmt, allen in § 35 SGB I genannten Stellen, 
auch soweit sie landesunmittelbare Sozialversicherungsträ- 
ger oder deren Verbände sind, die Bestellung von behörden- 
intemen Datenschutzbeauftragten zur Pflicht macht, entfal- 
len immer die Voraussetzungen für die Meldepflicht. In die- 
sem Bereich sind daher solche Meldepflichten entbehrlich. 
Hierbei wird auch berücksichtigt, dass § 26 Abs. 5 BDSG, 
wonach der Datenschutzbeauftragte ein Register automati- 
sierter Dateien zu führen hat, in der Neufassung ersatzlos 
entfällt. § 4g Abs. 1 Satz 3 BDSG n. F. findet keine Anwen- 
dung, da dies zu nicht sachgerechten Ergebnissen führen 
würde. 

Satz 4 stellt klar, dass bei landesunmittelbaren Stellen der 
Landesbeauftragte für den Datenschutz an die Stelle des 
Bundesbeauftragten tritt. 

Zu Nummer 16 (§ 82) 

In § 82 SGB X sind bisher Schadenersatzansprüche ledig- 
lich gegenüber in § 35 SGB 1 genannten Stellen des Bundes 
geregelt, weil nach der früheren Kompetenzordnung des 
Grundgesetzes ein Bundesgesetz nicht die Haftung von 
Landesbehörden regeln konnte. Nach dem Gesetz zur Ände- 
rung des Grundgesetzes vom 27. Oktober 1994 besitzt der 
Bund nunmehr auch die Gesetzgebungskompetenz für die 
Staatshaftung (Artikel 74 Nr. 25 GG). Da auch Stellen der 
Länder zu den in § 35 SGB I genannten Stellen gehören und 
insoweit eine einheitliche Haftungsregelung sinnvoll ist, 
werden in § 82 SGB X die Wörter „des Bundes“ gestrichen. 

Außerdem wird die Regelung auf die Haftung bei Erhebun- 
gen und Nutzungen erstreckt. Artikel 23 der Richtlinie 
spricht zwar von „Verarbeitung“, da Artikel 2 Buchstabe b 
der Richtlinie in den Begriff der „Verarbeitung“ aber die 
„Erhebung“ und die „Nutzung“ einbezieht, ist § 82 SGB X 
ebenso wie die §§ 7 und 8 BDSG durch die Begriffe der 
Datenerhebung und -nutzung zu ergänzen. 

Zu Nummer 17 (§ 83) 

Zu Buchstabe a Doppelbuchstabe aa 

§ 83 Abs. 1 Satz 1 Nr. 1 und 2 SGB X werden an § 19 Abs. 1 
Satz 1 BDSG angepasst, indem Artikel 12 Buchstabe a erster 
Spiegelstrich der Richtlinie umgesetzt wird. Der Unterrich- 
tung über Empfänger oder Kategorien von Empfängern 
(Satz 1 Nr. 2) kann durch Merkblätter entsprochen werden. 
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in denen auf regelmäßig im Verwaltungsverfahren durchzu- 
führende Erhebungen, Verarbeitungen und Nutzungen in all- 
gemein verständlicher Form hingewiesen wird. 

Zu Buchstabe a Doppelbuchstabe bb 

Angleichung an § 19 BDSG. 

Zu Buchstabe a Doppelbuchstabe cc und Buchstabe c 

Folgeänderung zu der Richtlinie (vgl. zu Nummer 1). 

Zu Buchstabe b 

Entsprechend der Regelung in § 19 Abs. 2 BDSG werden 
die Ausnahmen von den Auskunftsrechten des Betroffenen 
in Anwendung des Artikels 13 Abs. 1 Buchstabe g der 
Richtlinie modifiziert. 

Zu Nummer 18 (§ 84) 

Zu Buchstabe a 

Durch die Behandlung des Widerspruchsrechts in Absatz la 
ist auch eine entsprechende Ergänzung der Überschrift er- 
forderlich. 

Zu Buchstabe b 

§ 84 Abs. 1 Satz 2 SGB X hält grundsätzlich den gegenwär- 
tigen Rechtszustand aufrecht, wonach bei Sozialdaten das 
Bestreiten von Daten keine Sperrung bewirkt. Die Neurege- 
lung trägt den Erfordernissen der Praxis Rechnung. Bei ei- 
ner Übermittlung, die nicht der Erfüllung sozialer Aufgaben 
dient, z. B. nach § 71 SGB X, sind die Daten gesperrt. 

Zu Buchstabe c 

Absatz la entspricht der Regelung des BDSG. ln Überein- 
stimmung mit Artikel 14 Buchstabe a i. V. m. Artikel 7 
Buchstabe c der Richtlinie schließt § 20 Abs. 5 Satz 2 


BDSG das Widerspruchsrecht in den Fällen aus, in denen 
eine Rechtsvorschrift zur Erhebung, Verarbeitung oder Nut- 
zung verpflichtet. 

Zu den Buchstaben d und e 

Folgeänderung zu der Richtlinie (vgl. zu Nummer 1). 

Zu Buchstabe f 

ln Absatz 5 erfolgt eine Anpassung an Artikel 12 Buch- 
stabe c der Richtlinie. 

Zu Nummer 19 (§ 84a) 

Folgeänderung zu der Richtlinie (vgl. zu Nummer 1). 

Zu Nummer 20 (§ 85) 

Folgeänderung zu Änderungen in § 43 BDSG. 

Zu Nummer 21 (§ 85a Abs. 1) 

Folgeänderung zu Änderungen des BDSG. 

Zu Nummer 22 (§ 85b) 

Die Vorschrift ist entsprechend Artikel 32 Abs. 2 der Richt- 
linie gefasst. 

Zu Nummer 23 (Anlage zu § 78a) 

Die Anlage entspricht der zu § 9 BDSG. Deshalb wird auf 
die Begründung hierzu verwiesen. Die Auftragskontrolle 
(Anlage zu § 78a Satz 2 Nr. 6) muss auch - entsprechend 
der Änderung zu § 80 SGB X - auf die Datenerhebung und 
-nutzung erstreckt werden. 

Zu Artikel 9 (Inkrafttreten) 

Dieser Artikel regelt das Inkrafttreten des Gesetzes. 
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Anlage 2 

Stellungnahme des Bundesrates 


Der Bundesrat hat in seiner 754. Sitzung am 29. September 
2000 beschlossen, zu dem Gesetzentwurf gemäß Artikel 76 
Abs. 2 des Grundgesetzes wie folgt Stellung zu nehmen: 

1. Zu Artikel 1 des Gesetzentwurfs im Ganzen 

a) Mit dem vorliegenden Gesetzentwurf soll vorrangig 
die Richtlinie 95/46/EG des Europäischen Parla- 
ments und des Rates vom 24. Oktober 1995 zum 
Schutz natürlicher Personen bei der Verarbeitung 
personenbezogener Daten und zum freien Datenver- 
kehr (EG-Datenschutzrichtlinie) umgesetzt werden. 

b) Im Zuge der Beratungen der EG-Datenschutzrichtli- 
nie haben die Länder und auch der Bundesrat zahlrei- 
che Vorschläge zur Schaffung eines modernen Daten- 
schutzrechts unterbreitet, die geeignet erscheinen, auf 
der Grundlage des in der Bundesrepublik Deutsch- 
land bestehenden Kontrollsystems einen wirksamen 
Schutz der Rechte der Bürgerinnen und Bürger beim 
Umgang mit ihren persönlichen Daten zu gewährleis- 
ten und gleichzeitig unangemessene Verwaltungsfor- 
malitäten bei den für die Verarbeitung Verantwortli- 
chen und den Kontrollbehörden zu vermeiden. 

c) Die Forderungen des Bundesrates vom 14. Dezember 
1990 - (Bundesratsdrucksache 690/90 [Beschluss]) - 
zu dem Vorschlag der Kommission der Europäischen 
Gemeinschaften für eine Richtlinie des Rates zum 
Schutz von Personen bei der Verarbeitung personen- 
bezogener Daten vom 27. Juli 1990 (ABI. Nr. C 277 
vom 15. November 1990, S. 3) sind ebenso wie die 
dem Bundesministerium des Innern mit Schreiben 
vom 8. Februar 1993 zugeleitete Gemeinsame Stel- 
lungnahme der obersten Aufsichtsbehörden für den 
Datenschutz im nicht öffentlichen Bereich zu dem 
Geänderten Vorschlag der Kommission vom 16. Ok- 
tober 1992 (ABI. Nr. C 311 vom 27. November 1992, 
S. 30) in die weiteren Beratungen der EG-Daten- 
schutzrichtlinie einbezogen worden und haben dazu 
beigetragen, dass die verabschiedete Richtlinie den 
vorstehenden Anliegen der Länder weitgehend Rech- 
nung trägt. 

d) Nach Inkrafttreten der EG-Datenschutzrichtlinie im 
Jahr 1995 haben die obersten Aufsichtsbehörden für 
den Datenschutz im nicht öffentlichen Bereich eine 
Prüfung der zu ihrer Umsetzung notwendigen Maß- 
nahmen eingeleitet und in den letzten Jahren wieder- 
holt Vorschläge und Empfehlungen zur Novellierung 
des Bundesdatenschutzgesetzes vorgelegt. Dabei 
wurde unter anderem gefordert, 

- an der bisherigen Unterscheidung zwischen Vor- 
schriften für den öffentlichen und den nicht öffent- 
lichen Bereich festzuhalten und 

- bei der Ausgestaltung der Meldepflichten der da- 
tenverarbeitenden Stellen dem in Erwägungs- 
grund 49 der EG-Datenschutzrichtlinie genann- 


ten Anliegen, unangemessene Verwaltungsforma- 
litäten zu vermeiden, Rechnung zu tragen. 

e) Bei der Vorstellung des Geänderten Vorschlages für 
eine EG-Datenschutzrichtlinie ist von der Kommis- 
sion deutlich gemacht worden, dass die „Rahmen- 
richtlinie die großen Leitlinien des Gesetzes festlege, 
gleichzeitig aber den Mitgliedstaaten in der Anwen- 
dung gemeinsamer Grundsätze sowie im Hinblick 
auf die Wahl der Methoden und Verfahren, mit denen 
die tatsächliche Anwendung dieser Grundsätze ge- 
währleistet werden solle, viel Freiheit einräume“. Vor 
diesem Hintergrund ist von den Ländern auch gefor- 
dert worden, die durch die EG-Datenschutzrichtlinie 
eröffneten Gestaltungsspiehäume zu nutzen, um 

- der Eigenverantwortung der datenverarbeitenden 
Stellen den Vorrang gegenüber der Überwachung 
durch staatliche Kontrollstellen einzuräumen, 

- verwaltungsaufwändige Verfahren nur vorzuse- 
hen, soweit dies zur Gewährleistung der schutz- 
würdigen Interessen der betroffenen Personen ge- 
boten ist, 

- das Bundesdatenschutzgesetz übersichtlich, klar 
und verständlich auszugestalten und 

- insbesondere sicherzustellen, dass auch kleinere 
Unternehmen und Betriebe sowie die bei diesen 
bestellten betrieblichen Datenschutzbeauftragten 
in der Lage sind, die zum Schutz der Bürgerinnen 
und Bürger erlassenen datenschutzrechtlichen Be- 
stimmungen vor Ort effektiv umzusetzen. 

f) Auch wenn der vorliegende Gesetzentwurf im Inte- 
resse einer zeitnahen Umsetzung der EG-Daten- 
schutzrichtlinie begrüßt wird, hält der Bundesrat die 
Berücksichtigung der vorgenannten Anliegen der 
Länder im Rahmen der beabsichtigten grundlegenden 
Neufassung des Bundesdatenschutzgesetzes für ge- 
boten. Den Erfordernissen der Transparenz und Nor- 
menklarheit kann dabei insbesondere durch die Bei- 
behaltung der Unterscheidung zwischen Vorschriften 
für den öffentlichen und den nicht öffentlichen Be- 
reich Rechnung getragen werden. 

2. Zu Artikel 1 Nr. 6, 7, 10 und 36 (§§ 4, 4d, 4e, 6a und 

34 BDSG) 

Der Bundesrat bittet, im weiteren Gesetzgebungsverfah- 
ren zu prüfen, ob und gegebenenfalls in welcher Form 

- die Regelungen des § 4 Abs. 2 und 4 BDSG im Hin- 
blick auf die grundrechtlich geschützte allgemeine 
Handlungsfreiheit sachgerecht modifiziert werden 
können, 

- in § 4d BDSG klargestellt werden kann, dass sich die 
in dieser Vorschrift begründete Meldepflicht nicht 
auf jeden einzelnen Verarbeitungsvorgang, sondern 
auf den Einsatz eines automatisierten Verfahrens als 
Ganzes bezieht. 
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- die in § 4e Nr. 7 BDSG vorgesehene Regelung hin- 
sichtlich der Festlegung von Speicherfristen verein- 
facht oder gestrichen werden kann, 

- in der Regelung des § 6a BDSG sichergestellt wer- 
den kann, dass Betriebs- und Geschäftsgeheimnisse 
der verantwortlichen Stellen angemessen geschützt 
werden, 

- personenbezogene Daten, die ausschließlich zur Er- 
füllung gesetzlicher oder vertraglicher Aufbewah- 
rungsvorschriften oder für Zwecke der Datensiche- 
rung und der Datenschutzkontrolle gespeichert wer- 
den, dem Auskunftsanspruch nach § 34 BDSG ledig- 
lich dann unterstellt werden, wenn im Einzelfall 
Anhaltspunkte für einen Datenschutzverstoß vorhe- 
gen, 

- in § 34 Abs. 4 BDSG entsprechend der bisher gelten- 
den Regelung des Bundesdatenschutzgesetzes eine 
Ausnahme von der Auskunftspflicht für den Fall der 
Gefährdung von Geschäftszwecken vorgesehen wer- 
den kann. 

Begründung 

Die vorgesehenen Neuregelungen in § 4 Abs. 2 und 4 
und in den §§ 4d, 4e, 6a und 34 BDSG können in der 
Praxis zu einem erheblichen Verwaltungsmehraufwand 
führen, der auch unter Berücksichtigung der schutzwür- 
digen Interessen der Betroffenen nicht gerechtfertigt er- 
scheint. Bei den Vorschriften des § 4 Abs. 2 und 4 
BDSG ist außerdem zu berücksichtigen, dass diese Vor- 
schriften, die nach der bisherigen gesetzlichen Regelung 
lediglich für die Behörden und sonstigen öffentlichen 
Stellen galten, im Bereich der auf den Prinzipien der 
freien wirtschaftlichen Betätigung und der Vertragsfrei- 
heit beruhenden Privatwirtschaft einer entsprechenden 
Modifizierung bedürfen. 

Unabhängig von der geplanten grundlegenden Überar- 
beitung des Bundesdatenschutzgesetzes hält es der Bun- 
desrat für geboten zu prüfen, ob in den genannten Berei- 
chen bereits jetzt sachgerechte Regelungen geschaffen 
werden können. 

3. Zu Artikel 1 Nr. 7 (§ 4b BDSG) und Artikel 8 § 2 Nr. 9 
(§ 77 SGB X) 

Die Bundesregierung wird gebeten, im weiteren Gesetz- 
gebungsverfahren zu prüfen, ob in Artikel 1 Nr. 7 die 
Vorschrift des § 4b BDSG und in Artikel 8 § 2 Nr. 9 die 
Vorschrift des § 77 SGB X wie folgt vereinfacht werden 
können: 

Die jetzige Fassung des § 4b BDSG unterscheidet nicht 
nur zwischen Übermittlungen innerhalb der Mitglied- 
Staaten der Europäischen Union und Übermittlungen an 
Stellen außerhalb der Europäischen Union (letzteren 
sind über- und zwischenstaatlichen Stellen gleichge- 
stellt), sondern unterscheidet auch noch bei Datenüber- 
mittlungen innerhalb der Mitgliedstaaten der Europäi- 
schen Union, ob der Anwendungsbereich von Artikel 3 
der EG-Datenschutzrichtlinie gegeben ist. Die zuletzt 
genannte Unterscheidung ist für die tägliche Praxis so- 
wohl in der Privatwirtschaft als auch in der Verwaltung 


äußerst problematisch, da bei jeder Datenübermittlung 
geprüft werden müsste, ob sie dem Anwendungsbereich 
der EG-Datenschutzrichtlinie unterfällt. In der täglichen 
Praxis müsste also die schwierige Frage des Anwen- 
dungsbereiches der EG-Datenschutzrichtlinie beantwor- 
tet werden. Ein Bundesgesetz sollte aber in sich aussage- 
kräftig sein und sollte zu seiner Anwendung keinen stän- 
digen Rückgriff auf die Richtlinie benötigen; dies wäre 
mit dem Gedanken der Normklarheit nicht vereinbar. 

Einer Gleichbehandlung von Datenübermittlungen in- 
nerhalb der Europäischen Union stehen auch nicht Si- 
cherheitsbelange entgegen. Denn für die Sicherheitsbe- 
hörden gelten nach den Artikeln 2 bis 7 des Gesetzent- 
wurfs die Vorschriften der §§ 4b und 4c ohnehin nicht. 

4. Zu Artikel 1 Nr. 7 (§ 4f Abs. 1 Satz 6 BDSG) 

In Artikel 1 Nr. 7 sind in § 4f Abs. 1 Satz 6 die Wörter 
„eine Vorabkontrolle durchzuführen haben“ durch die 
Wörter „automatisierte Verarbeitungen vornehmen, die 
der Vorabkontrolle unterliegen,“ zu ersetzen. 

Begründung 

Eine Vorabkontrolle ist nach § 4d Abs. 5 durchzutühren, 
soweit automatisierte Verarbeitungen besondere Risiken 
für die Rechte und Freiheiten der Betroffenen autweisen. 
In diesen Fällen, in denen vielfach besondere Arten per- 
sonenbezogener Daten nach § 3 Abs. 9 verarbeitet wer- 
den, ist zur Wahrung der Rechte der Betroffenen die auf 
Dauer angelegte Bestellung eines Beauftragten für den 
Datenschutz unabhängig von der Anzahl der Arbeitneh- 
mer geboten. 

Durch die vorgeschlagene Änderung wird klargestellt, 
dass die Verpflichtung zur Bestellung eines Beauftragten 
für den Datenschutz nicht auf die Durchführung einer 
Vorabkontrolle beschränkt ist, sondern für die gesamte 
Dauer der Verarbeitung personenbezogener Daten, für 
die eine Vorabkontrolle durchzuführen ist, besteht. 

5. Zu Artikel 1 Nr. 7 (§ 4g Abs. 1 Sätze 2 und 3 BDSG) 

In Artikel 1 Nr. 7 ist § 4g Abs. 1 wie folgt zu ändern: 

a) In Satz 2 sind die Wörter „im Benehmen mit dem 
Leiter der verantwortlichen Stelle“ zu streichen. 

b) Satz 3 ist zu streichen. 

Begründung 

Die in § 4g Abs. 1 Satz 2 und 3 BDSG n. F. vorgesehene 
Regelung, nach der sich der behördliche Datenschutzbe- 
auftragte nur im Benehmen mit dem Leiter der verant- 
wortlichen Stelle an den Bundesbeauftragten für den Da- 
tenschutz wenden kann und bei Unstimmigkeiten zwi- 
schen dem behördlichen Datenschutzbeauftragten und 
dem Leiter eine Genehmigung der obersten Bundesbe- 
hörde erforderlich ist, ist mit der Aufgabenstellung des 
behördlichen Datenschutzbeauftragten nicht vereinbar 
(Artikel 18 Abs. 2 Spiegelstrich 2 der EG-Datenschutz- 
richtlinie). Hinzu kommt, dass der Datenschutzbeauf- 
tragte in den in Artikel 20 Abs. 2 der EG-Datenschutz- 
richtlinie beschriebenen Fällen im Zweifelsfall sogar die 
Kontrollstelle konsultieren muss. 



Drucksache 14/4329 


-56- 


Deutscher Bundestag - 14. Wahlperiode 


Eine solch einschränkende Regelung gibt es in keiner 
Rechts- und Verwaltungsvorschrift der Länder, in denen 
behördliche Datenschutzbeauftragte vorgesehen sind. 

6. ZuArtikellNr.il (§7 Abs. 1 Satz 1, Abs. 2 bis 4 

und 6, 7 und 8 - neu - BDSG) 
Artikel 1 Nr. 1 1 ist wie folgt zu ändern: 

a) § 7 ist wie folgt zu ändern: 

aa) ln Absatz 1 Satz 1 sind das Wort „schuldhaft“ zu 
streichen und vor den Wörtern „ihr Träger“ die 
Wörter „sie oder“ einzufügen, 
bb) Die Absätze 2 bis 4 sind zu streichen. 

b) § 8 ist wie folgt zu ändern: 

aa) Absatz 6 ist wie folgt zu fassen: 

„(6) Mehrere Ersatzpflichtige haften als Ge- 
samtschuldner.“ 

bb) Nach Absatz 6 sind folgende Absätze 7 und 8 
anzufügen: 

„(7) Vorschriften, nach denen ein Ersatz- 
pflichtiger in weiterem Umfang als nach dieser 
Vorschrift haftet oder nach denen ein anderer für 
den Schaden verantwortlich ist, bleiben unbe- 
rührt. 

(8) Der Rechtsweg zu den ordentlichen Ge- 
richten steht offen.“ 

Begründung 

ln § 7 Abs. 1 ist das Verhältnis der Sätze 1 und 2 irritie- 
rend. Wenn nach Satz 2 die Ersatzpflicht (nur) entfällt, 
falls die verantwortliche Stelle den Nachweis fehlenden 
Verschuldens erbringt, ist es folgerichtig, in Satz 1 das 
Wort „schuldhaft“ zu streichen. Das dürfte der Regelung 
in Artikel 2 der Richtlinie entsprechen. Die Einfügung 
der Wörter „sie oder“ in Satz 1 trägt dem Umstand Rech- 
nung, dass bei juristischen Personen des Privatrechts 
eine Haftung des Trägers nicht in Betracht kommt. 

Da § 7 einen deliktischen Anspruch zum Gegenstand 
hat, sind im Hinblick auf die §§ 823 ff. BGB die Absätze 
2 bis 4 überflüssig. Die Änderungen des § 8 sind Folge- 
änderungen. 

7. Zu Artikel 1 Nr. 13 (§ 9a BDSG) und Artikel 8 §2 

Nr. 12 (§ 78c SGB X) 

Artikel 1 Nr. 13 und Artikel 8 § 2 Nr. 12 sind zu strei- 
chen. 

Begründung 

Gegen das vorgesehene Datenschutzaudit bestehen er- 
hebliche Bedenken, da es für einen effektiven Daten- 
schutz nicht notwendig, aber kostenträchtig ist. Aus der 
formalen Freiwilligkeit kann im nicht öffentlichen Be- 
reich aus Wettbewerbsgründen leicht faktischer Zwang 
werden. Dies würde eine wesentliche Kostenbelastung 
der deutschen Wirtschaft mit sich bringen. Vor allem 
aber würde durch ein Audit die Stellung des betriebli- 
chen Datenschutzbeauftragten entwertet werden, für 
dessen rechtliche Absicherung in der EG-Datenschutz- 
richtlinie sich gerade Deutschland eingesetzt hat. Diese 
betriebliche Selbstkontrolle durch betriebliche Daten- 


schutzbeauftragte hat sich bewährt. So ist es nicht ver- 
ständlich, warum durch ein Datenschutzaudit eine Art 
„dreifache Kontrolle“ eingeführt werden soll, nämlich 
neben der Selbstkontrolle durch betriebliche Daten- 
schutzbeauftragte und der Fremdkontrolle durch 
Aufsichtsbehörden nunmehr noch ein Datenschutzaudit. 
Unklar sind auch die Rechtswirkungen eines Audits 
durch einen Gutachter. Probleme können etwa dann auf- 
treten, wenn Gutachter und Datenschutzkontrollbehör- 
den zu unterschiedlichen Bewertungen gelangen. 

Im Übrigen ist zurzeit kein aktueller Regelungsbedarf 
gegeben, zumal Satz 2 der vorgesehenen Vorschriften 
(§ 9a Satz 2 BDSG und § 78c Satz 2 SGB X) ohnehin 
auf eine erst zukünftig zu schaffende gesetzliche Rege- 
lung verweist. Auch besteht die Möglichkeit, dieses 
Thema im Rahmen der von der Bundesregierung an- 
gekündigten grundlegenden Überarbeitung des Bundes- 
datenschutzgesetzes vertieft zu erörtern. 

8. Zu Artikel 1 Nr. 15 (§ 11 BDSG) 

Artikel 1 Nr. 1 5 Buchstabe d Doppelbuchstabe bb ist wie 
folgt zu fassen: 

,bb) Dem Absatz wird folgender Satz angefügt: 

„Der Auftraggeber hat sich in geeigneter Weise von 
der Einhaltung der beim Auftragnehmer getroffenen 
technischen und organisatorischen Maßnahmen zu 
überzeugen.““ 

Begründung 

Die in der vorliegenden Entwurfsfassung des § 1 1 Abs. 2 
Satz 4 BDSG für den Auftraggeber vorgesehene gene- 
relle Verpflichtung, sich von der Einhaltung der getroffe- 
nen technischen und organisatorischen Maßnahmen 
beim Auftragnehmer zu überzeugen, kann in der Praxis 
große Probleme bereiten. So gibt es z. B. Rechenzentren 
mit über 30 000 Auftraggebern. Es wäre sowohl aus 
organisatorischen als auch aus Sicherheitsgründen nicht 
vorstellbar, wenn sämtliche Auftraggeber die diversen 
Sicherheitseinrichtungen dieser Einrichtung inspizieren 
müssten. Die Einfügung „in geeigneter Weise“ trägt die- 
sem Umstand Rechnung. 

9. Zu Artikel 1 Nr. 28 Buchstabe b (§ 24 Abs. 3 BDSG) 

In Artikel 1 Nr. 28 Buchstabe b ist § 24 Abs. 3 zu strei- 
chen. 

Begründung 

Nach der geltenden Fassung von § 24 Abs. 3 BDSG un- 
terliegen die Bundesgerichte der Kontrolle des Bundes- 
beauftragten nur, soweit sie in Verwaltungsangelegen- 
heiten tätig werden. Die neue Fassung von Absatz 3 
schränkt die Ausnahme von der Kontrollbefugnis inso- 
weit ein, dass bei den Bundesgerichten nur noch die un- 
mittelbar der Rechtsprechung dienende Tätigkeit der 
Richter von der Kontrolle ausgenommen sein soll. 

Dies hätte etwa zur Folge, dass die Unterstützungstätig- 
keiten der gerichtlichen Geschäftsstellen, die die Durch- 
führung der Rechtspflegeaufgaben im Auftrag und auf 
Weisung des Richters ermöglichen sollen, der uneinge- 
schränkten datenschutzrechtlichen Prüfung durch den 
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Bundesbeauftragten für den Datenschutz unterliegen 
würden. Auch das Ob und Wie der Nutzung technischer 
Hilfsmittel durch die Richter, insbesondere technische 
bzw. organisatorische Maßnahmen zur Datensicherung 
könnten von der Kontrolle des Bundesbeauftragten für 
den Datenschutz betroffen sein. 

Da dies den Bereich der richterlichen Unabhängigkeit 
jedenfalls mittelbar einschränken würde und sich die 
bisherige Regelung darüber hinaus bewährt hat, besteht 
für eine Änderung des geltenden Rechts kein Anlass. 

10. Zu Artikel 1 Nr. 31 Buchstabe b (§ 28 Abs. 1 Satz 1 

Nr. 3 BDSG) 

Artikel 1 Nr. 31 Buchstabe b Doppelbuchstabe dd ist 
wie folgt zu fassen: 

,dd) Nummer 3 wird wie folgt gefasst: 

„3. wenn die Daten aus allgemein zugänglichen Quel- 
len entnommen werden können oder die verant- 
wortliche Stelle sie veröffentlichen dürfte, es sei 
denn, dass das schutzwürdige Interesse des 
Betroffenen an dem Ausschluss der Verarbeitung 
oder Nutzung gegenüber dem berechtigten Inter- 
esse der verantwortlichen Stelle offensichtlich 
überwiegt; dies kann insbesondere bei einer Ver- 
knüpfung mit anderen Daten der Fall sein.“ ‘ 

Begründung 

Die modernen Informations- und Kommunikati- 
onstechniken bieten vielfältige Möglichkeiten, auf der 
Grundlage der §§ 28, 29 BDSG gespeicherte perso- 
nenbezogene Daten auszuwerten und weiter zu verar- 
beiten. Eine Gefährdung für das Recht auf informatio- 
neile Selbstbestimmung kann sich dabei vor allem erge- 
ben, wenn Angaben zu einzelnen natürlichen Personen 
mit Informationen aus anderen Datenbeständen ver- 
knüpft werden und hierdurch umfassende Per- 
sönlichkeitsprofile Betroffener entstehen können. Inso- 
weit bedarf es bei der Verknüpfung personenbezogener 
Daten jeweils einer Prüfung im Einzelfall, ob hierdurch 
schutzwürdige Interessen der betroffenen Personen be- 
einträchtigt werden. 

Mit der vorgeschlagenen Änderung des § 28 Abs. 1 
Satz 1 Nr. 3 soll eine Verknüpfung von personenbezoge- 
nen Daten vor allem in denjenigen Fällen aus- 
geschlossen werden, in denen offensichtlich über- 
wiegende schutzwürdige Interessen der Betroffenen 
entgegenstehen. Die Vorschrift soll insbesondere auch 
verhindern, dass durch das Auswerten und Zusammen- 
führen von Informationen aus verschiedenen Datenbe- 
ständen einschließlich der allgemein zugänglichen 
Quellen personenbezogene Daten aus unterschiedlichen 
Bereichen miteinander verknüpft und hierdurch schutz- 
würdige Interessen der Betroffenen verletzt werden. 

11. Zu Artikel 1 Nr. 31 Buchstabe h Doppelbuchstabe bb 

(§ 28 Abs. 4 BDSG) 

In Artikel 1 Nr. 31 Buchstabe h Doppelbuchstabe bb ist 
in dem neuen Satz nach dem Wort „unterrichten“ fol- 
gender Halbsatz „ ; nutzt der Werbetreibende personen- 


bezogene Daten des Betroffenen, die bei einer anderen 
Stelle gespeichert sind, hat er auch sicherzustellen, dass 
der Betroffene Kenntnis über die Herkunft der Daten 
erhalten kann“ einzufügen. 

Begründung 

Mit der Ergänzung soll klargestellt werden, dass die 
Verpflichtung, dem Betroffenen die Kenntnis über die 
Quelle seiner für die Werbung genutzten Daten zu ver- 
schaffen, auch dann besteht, wenn der Werbetreibende 
fremde Datenbestände insbesondere im sog. Listbro- 
kingverfahren einsetzen lässt. Der Entwurf der Bundes- 
regierung enthält keine eindeutige Verpflichtung mehr, 
den Betroffenen beim Einsatz fremder Adresslisten in 
der Werbung über die Herkunft seiner Daten zu unter- 
richten. Damit der Betroffene das Widerspruchsrecht 
effektiv wahmehmen kann, muss er jedoch die Mög- 
lichkeit haben, sich auf einfache Weise Kenntnis über 
die Quelle seiner Daten zu verschaffen. Dazu reicht die 
Verpflichtung aus, dem Betroffenen bei der werblichen 
Ansprache eine Nachfragemöglichkeit nach dem 
Adresslisteneigner zu eröffnen, der seine Daten für die 
Werbung zur Verfügung gestellt hat. Dies kann bei- 
spielsweise durch die Angabe einer Telefonnummer im 
Werbemittel realisiert werden, die zu einer Stelle ge- 
schaltet ist, welche über die Zuordnung der Daten zum 
Adresseigner informieren und ggf Widersprüche des 
Betroffenen entgegennehmen kann. Im Gegensatz zu 
der inzwischen von der Bundesregierung verworfenen 
Verpflichtung zur Benennung der Herkunft der Daten 
im Werbemittel ist der werbetreibenden Wirtschaft die 
Eröffnung einer Informationsmöglichkeit zumutbar; 
auch ist damit sichergestellt, dass im Werbemittel selbst 
keine schutzbedürftigen Daten des Betroffenen, wie 
etwa die Kundenbeziehung zu einem Unternehmen, of- 
fenbart werden. 

12. Zu Artikel 1 Nr. 32 (§ 29 BDSG) 

Artikel 1 Nr. 32 ist wie folgt zu ändern: 

a) Buchstabe b Doppelbuchstabe cc ist wie folgt zu 
fassen: 

,cc) Nummer 2 wird wie folgt gefasst: 

„2. die Daten aus allgemein zugänglichen Quellen 
entnommen werden können oder die verantwort- 
liche Stelle sie veröffentlichen dürfte, es sei 
denn, dass das schutzwürdige Interesse des Be- 
troffenen an dem Ausschluss der Erhebung, 
Speicherung oder Veränderung offensichtlich 
überwiegt; dies kann insbesondere bei einer Ver- 
knüpfung mit anderen Daten der Fall sein.“‘ 

b) Buchstabe c Doppelbuchstabe cc ist wie folgt zu 
fassen: 

,cc) Satz 1 Nr. 1 Buchstabe b wird wie folgt geändert: 

aaa) Die Angabe „Abs. 2 Nr. 1 Buchstabe b“ 
wird durch die Angabe „Abs. 3 Nr. 3“ er- 
setzt. 

bbb) Das Wort „und“ wird gestrichen.“ 
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c) Nach Buchstabe c Doppelbuchstabe cc ist folgender 
Doppelbuchstabe cd einzufugen: 

,ccl) ln Satz 1 nach Nummer 1 wird folgender Halb- 
satz ausgerückt angefügt: 

„und kein Grund zu der Annahme besteht, 
dass der Betroffene ein schutzwürdiges Inter- 
esse an dem Ausschluss der Übermittlung hat, 
oder“.‘ 

d) Nach Buchstabe c ist nach dem Doppelbuchstaben 
cd folgender Doppelbuchstabe cc2 einzufugen: 

,cc2) Satz 1 Nr. 2 wird wie folgt gefasst: 

„2. es sich um nach Absatz 1 Satz 1 Nr. 2 ge- 
speicherte Daten handelt, es sei denn, dass 
das schutzwürdige Interesse des Betroffe- 
nen an dem Ausschluss der Übermittlung 
offensichtlich überwiegt.“ ‘ 

Begründung 

Die modernen Informations- und Kommunikati- 
onstechniken bieten vielfältige Möglichkeiten, auf der 
Grundlage der §§ 28, 29 BDSG gespeicherte perso- 
nenbezogene Daten auszuwerten und weiter zu verar- 
beiten. Eine Gefährdung für das Recht auf informatio- 
neile Selbstbestimmung kann sich dabei vor allem erge- 
ben, wenn Angaben zu einzelnen natürlichen Personen 
mit Informationen aus anderen Datenbeständen ver- 
knüpft werden und hierdurch umfassende Per- 
sönlichkeitsprofile Betroffener entstehen können. Inso- 
weit bedarf es bei der Verknüpfung personenbezogener 
Daten jeweils einer Prüfung im Einzelfall, ob hierdurch 
schutzwürdige Interessen der betroffenen Personen be- 
einträchtigt werden. 

Für die Stellen, die personenbezogene Daten zum Zwe- 
cke der Übermittlung erheben, speichern oder verän- 
dern, wird die Übermittlung von Daten, die aus allge- 
mein zugänglichen Quellen stammen, neu geregelt. 

Zu Buchstabe a 

Durch die in Buchstabe b Doppelbuchstabe cc vorgese- 
hene Neufassung des § 29 Abs. 1 Satz 1 Nr. 2 BDSG soll 
verhindert werden, dass personenbezogene Daten in ei- 
ner das Persönlichkeitsrecht der Betroffenen beein- 
trächtigenden Weise miteinander verknüpft werden, un- 
abhängig davon, ob diese Angabe aus allgemein zu- 
gänglichen Quellen stammen oder in sonstiger Weise 
erhoben worden sind. 

Zu den Buchstaben b und c 

Die bisherigen Nummern 1 und 2 des § 29 Abs. 2 Satz 1 
werden ohne inhaltliche Änderung in der neuen Num- 
mer 1 zusammengefasst. 

Die Regelung unter Buchstabe b Doppelbuchstabe cc 
Dreifachbuchstabe aaa entspricht der Regelung unter 
Buchstabe c Doppelbuchstabe cc des Entwurfs der 
Bundesregierung. 

Zu Buchstabe d 

Bei der Übermittlung personenbezogener Daten, die 
aus allgemein zugänglichen Quellen stammen oder ver- 


öffentlicht werden dürfen, soll auf die glaubhafte Dar- 
legung eines berechtigten Interesses des Dritten, an den 
die Daten übermittelt werden, verzichtet werden. Die 
Zulässigkeit der Übermittlung von aus allgemein zu- 
gänglichen Quellen gewonnenen Daten setzt auf der an- 
deren Seite voraus, dass das schutzwürdige Interesse 
des Betroffenen an dem Ausschluss der Übermittlung 
nicht offensichtlich überwiegt. Dies kann insbesondere 
der Fall sein, wenn die verantwortliche übermittelnde 
Stelle die Daten mit anderen Angaben verknüpft und 
hierdurch aus verschiedenen Lebensbereichen Informa- 
tionen über einzelne natürliche Personen zusammenge- 
führt werden. 

Die Regelung gilt nicht für die Übermittlung allgemein 
zugänglicher Daten, die mit nicht allgemein zugängli- 
chen Daten verknüpft sind. 

13. Zu Artikel 1 Nr. 41 (§ 38 BDSG) 

Artikel 1 Nr. 41 ist wie folgt zu ändern: 

a) Nach Buchstabe b wird der folgende neue Buch- 
stabe bl eingefügt: 

,bl) In Absatz 3 Satz 1 wird das Wort „Prüfung“ 
durch das Wort „Kontrolle“ ersetzt. ‘ 

b) Buchstabe c ist wie folgt zu fassen: 

,c) Absatz 4 wird wie folgt geändert: 

aa) In Satz 1 werden die Wörter „Überprü- 
fung und Überwachung“ durch das Wort 
„Kontrolle“ ersetzt. 

bb) In Satz 2 wird die Angabe „§ 37 Abs. 2“ 
durch die Angabe „§ 4g Abs. 2 Satz 1“ 
ersetzt. ‘ 

c) Nach Buchstabe d wird der folgende Buchstabe e 
angefügt: 

,e) In Absatz 6 wird das Wort „Überwachung“ 
durch das Wort „Kontrolle“ ersetzt. ‘ 

Begründung 

Da § 38 Abs. 1 Satz 1 BDSG nunmehr von einer „Kon- 
trolle“ durch die Aufsichtsbehörden spricht, muss § 38 
insgesamt dem neuen Sprachgebrauch angepasst wer- 
den. 

14. Zu Artikel 1 Nr. 42 (§ 38a Abs. 1 BDSG) 

In Artikel 1 Nr. 42 ist dem § 38a Abs. 1 folgender Satz 2 
anzufügen: 

„Die Entwürfe sind zu begründen und auf Verlangen 
der Aufsichtsbehörde näher zu erläutern.“ 

Begründung 

Durch Satz 2 soll sichergestellt werden, dass nur be- 
gründete Entwürfe vorgelegt werden und diese auf Ver- 
langen der Aufsichtsbehörde näher zu erläutern sind. 

15. Zu Artikel 1 Nr. 47 (§ 43 BDSG) 

Artikel 1 Nr. 47 ist wie folgt zu ändern: 
a) Buchstabe a ist wie folgt zu ändern: 
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aa) Doppelbuchstabe aa ist wie folgt zu fassen: 

,aa) Der erste Halbsatz wird wie folgt gefasst: 

„Wer gegen Entgelt oder in der Absicht, 
sich oder einen anderen zu bereichern oder 
einen anderen zu schädigen, unbefugt per- 
sonenbezogene Daten, die nicht allge- 
mein zugänglich sind,“ ‘ . 

bb) Nach Doppelbuchstabe cc ist folgender Doppel- 
buchstabe dd anzufügen: 

,dd) Im abschließenden Satzteil sind die Wör- 
ter „bis zu einem Jahr“ durch die Wörter 
„bis zu zwei Jahren“ zu ersetzen. ‘ 

b) Buchstabe b ist wie folgt zu ändern: 

aa) Dem Doppelbuchstaben aa ist folgender Dop- 
pelbuchstabe aaO voranzustellen: 

,aaO) Der erste Halbsatz wird wie folgt gefasst: 

„Ebenso wird bestraft, wer gegen Entgelt 
oder in der Absicht, sich oder einen ande- 
ren zu bereichern oder einen anderen zu 
schädigen,“. ‘ 

bb) Doppelbuchstabe aa ist wie folgt zu fassen: 

,aa) In Nummer 1 werden die Wörter „durch 
dieses Gesetz geschützten“ gestrichen und 
das Wort „offenkundig“ durch die Wörter 
„allgemein zugänglich“ ersetzt.“ 

c) Nach Buchstabe b ist folgender Buchstabe bl einzu- 
fügen: 

bl) Absatz 3 wird aufgehoben. 

Begründung 

Nach der geltenden Rechtslage macht sich strafbar, wer 
personenbezogene Daten, die nicht offenkundig sind, 
speichert oder in sonstiger Weise nach Maßgabe des 
§ 43 Abs. 1 BDSG verarbeitet. Im Hinblick auf die Viel- 
zahl der Datenverarbeitungsvorgänge, die von der Straf- 
vorschrift inzwischen erfasst sind, die vielfach schwie- 
rige Abwägung zwischen den berechtigten Interessen 
der verantwortlichen Stelle und den schutzwürdigen Be- 
langen Betroffener, sowie vor dem Hintergrund der ge- 
ringen praktischen Bedeutung, die die im Übrigen ver- 
fassungsrechtlich problematische „Blankettvorschrift“ 
des § 43 Abs. 1 BDSG erlangt hat, ist es sachgerecht, zu- 
künftig nicht mehr jeden unbefugten Umgang mit perso- 
nenbezogenen Daten unter Strafe zu stellen. 

Durch eine Erweiterung der Bußgeldvorschriften (siehe 
Änderungsvorschläge zu § 44 BDSG) sollen auf der an- 
deren Seite gleichzeitig die Voraussetzungen geschaf- 
fen werden, dass zukünftig jede unbefugte Erhebung 
und weitere Verarbeitung personenbezogener Daten 
von den zuständigen Kontrollbehörden nach Maßgabe 
des Opportunitätsprinzips als Ordnungswidrigkeit ver- 
folgt werden kann. 

An der bisherigen Strafandrohung soll im Übrigen in 
denjenigen Fällen festgehalten werden, in denen der 
Täter in besonderem Maße verwerflich handelt. Ent- 
sprechend der bisherigen Regelung des § 43 Abs. 3 


BDSG soll danach auch zukünftig mit Freiheitsstrafe 
oder mit Geldstrafe bestraft werden können, wer gegen 
Entgelt oder in der Absicht, sich oder einen anderen zu 
bereichern oder einen anderen zu schädigen, unbefugt 
personenbezogene Daten erhebt oder verarbeitet. 

Die Vorschläge zur Neufassung der §§ 43 und 44 
BDSG in diesem und den weiteren Änderungsvorschlä- 
gen entsprechen der Konzeption, die den vergleichba- 
ren Regelungen der Datenschutzgesetze mehrerer Län- 
der zugrunde liegt. 

Zu den Buchstaben a und b 

Nach den Änderungsvorschlägen zu § 43 Abs. 1 und 2 
sollen Verstöße gegen datenschutzrechtliche Vorschrif- 
ten zukünftig grundsätzlich nur dann strafbar sein, wenn 
der Täter gegen Entgelt oder in Bereicherungs- oder 
Schädigungsabsicht handelt. Hierfür sieht der bisherige 
Absatz 3 ein erhöhtes Strafmaß vor. Die qualifizierten 
Tatbestandsmerkmale und das erhöhte Strafmaß werden 
aus Absatz 3 in die Absätze 1 und 2 übernommen. 

Handelt der Täter nicht gegen Entgelt oder fehlt die Be- 
reicherungs- oder Schädigungsabsicht, reicht es grund- 
sätzlich aus, wenn Verstöße gegen datenschutzrechtli- 
che Vorschriften als Ordnungswidrigkeit geahndet wer- 
den können und damit eine Entkriminalisierung des 
Handelns des Betroffenen erfolgt. 

Voraussetzung für die Verwirklichung des Straftatbe- 
standes des § 43 Abs. 1 ist bisher, dass die personenbe- 
zogenen Daten, die unbefugt gespeichert, übermittelt, 
abgerufen oder in sonstiger Weise verarbeitet werden, 
„nicht offenkundig“ sind. Offenkundigkeit ist nach der 
Rechtsprechung allerdings bereits dann gegeben, wenn 
personenbezogene Daten bei Vorliegen bestimmter im 
Einzelnen geregelter Voraussetzungen an jedermann 
übermittelt werden können. Auf der Grundlage dieser 
Rechtsauffassung konnten beispielsweise unbefugte 
Abrufe aus dem zentralen Informationssystem des 
Kraftfahrtbundesamtes durch einzelne öffentliche Be- 
dienstete und die Weitergabe dieser Daten an private 
Stellen strafrechtlich nicht geahndet werden. 

Durch die vorgeschlagene Gesetzesänderung soll sicher- 
gestellt werden, dass bei Vorliegen der sonstigen Voraus- 
setzungen des § 43 eine strafrechtliche Ahndung nur in 
denj enigen F ällen ausgeschlossen ist, in denen es sich um 
Daten handelt, die von jedermann zur Kenntnis genom- 
men werden können, ohne dass der Zugang aus Gründen 
des Persönlichkeitsschutzes rechtlich beschränkt ist. 

Zu Buchstabe c 

Mit der Übernahme der qualifizierten Tatbestandsmerk- 
male und des erhöhten Strafmaßes in die Absätze 1 und 
2 wird der bisherige Absatz 3 entbehrlich. 

16. Zu Artikel 1 Nr. 48 (§ 44 Abs. 1 BDSG) 

In Artikel 1 Nr. 48 sind die folgenden Buchstaben d bis f 
anzufügen: 

,d) In Nummer 6 wird nach dem Wort „duldet,“ das 
Wort „oder“ gestrichen. 



Drucksache 14/4329 


-60- 


Deutscher Bundestag - 14. Wahlperiode 


e) ln Nummer 7 wird der Punkt durch ein Komma er- 
setzt. 

f) Nach Nummer 7 werden die folgenden Nummern 8 
bis 11 angefügt: 

8. entgegen § 28 Abs. 4 Satz 2 den Betroffenen 
nicht oder nicht rechtzeitig über sein Wider- 
spruchsrecht gegen die Nutzung oder Über- 
mittlung seiner Daten zu Werbezwecken oder 
zu Zwecken der Markt- und Meinungsfor- 
schung unterrichtet, 

9. entgegen § 29 Abs. 3 Satz 1 personenbezogene 
Daten in elektronische oder gedruckte Adress-, 
Telefon-, Branchen- oder vergleichbare Ver- 
zeichnisse aufnimmt, 

10. entgegen § 29 Abs. 3 Satz 2 die Übernahme 
von Kennzeichnungen nicht sicherstellt oder 

11. entgegen § 30 Abs. 1 Satz 2 die in § 30 Abs. 1 
Satz 1 bezeichneten Merkmale oder entgegen 
§ 40 Abs. 2 Satz 3 die in § 40 Abs. 2 Satz 2 be- 
zeichneten Merkmale mit den Einzelangaben 
zusammenführt.“ ‘ 

Begründung 

Dieser und der weitere Änderungsvorschlag zu § 44 
BDSG ergänzen das Änderungsbegehren zu § 43 
BDSG, wonach künftig nicht mehr jeder unbefugte 
Umgang mit personenbezogenen Daten unter Strafe ge- 
stellt werden soll. Durch die vorgesehene Erweiterung 
des § 44 BDSG sollen gleichzeitig die Voraussetzungen 
geschaffen werden, dass zukünftig jede unbefugte Er- 
hebung und weitere Verarbeitung personenbezogener 
Daten von den zuständigen Kontrollbehörden nach 
Maßgabe des Opportunitätsprinzips als Ordnungs- 
widrigkeit verfolgt werden kann. Die zuständigen Be- 
hörden sollen in die Lage versetzt werden, gegenüber 
den verantwortlichen Stellen ein Bußgeldverfahren ein- 
zuleiten, wenn diese den in den Nummern 8 bis 11 ge- 
nannten gesetzlichen Verpflichtungen zur Gewährleis- 
tung des Rechts auf informationeile Selbstbestimmung 
nicht nachkommen. 

17. Zu Artikel 1 Nr. 48a - neu - (§ 44 Abs. 2 BDSG) 

Nach Artikel 1 Nr. 48 ist folgende Nummer 48a einzu- 
fügen: 

,48a) § 44 wird wie folgt geändert: 

a) Nach Absatz 1 wird folgender Absatz 2 einge- 
fügt: 

„(2) Ordnungswidrig handelt auch, wer vor- 
sätzlich oder fahrlässig 

1. unbefugt personenbezogene Daten, die 
nicht allgemein zugänglich sind, erhebt 
oder verarbeitet, 

2. unbefugt personenbezogene Daten, die 
nicht allgemein zugänglich sind, zum Ab- 
ruf mittels automatisierten Verfahrens be- 
reithält. 


3. unbefugt personenbezogene Daten, die 
nicht allgemein zugänglich sind, abruft 
oder sich oder einem anderen aus automati- 
sierten Verarbeitungen oder nicht automati- 
sierten Dateien verschafft, 

4. die Übermittlung von personenbezogenen 
Daten, die nicht allgemein zugänglich sind, 
durch unrichtige Angaben erschleicht, 

5. entgegen § 16 Abs. 4 Satz 1, § 28 Abs. 5 
Satz 1, auch in Verbindung mit § 29 Abs. 4, 
§ 39 Abs. 1 Satz 1 oder § 40 Abs. 1 die über- 
mittelten Daten für andere Zwecke nutzt, 
indem er sie an Dritte weitergibt, oder 

6. entgegen §§ 28 oder 29, auch in Verbin- 
dung mit § 4b, personenbezogene Daten er- 
hebt, verarbeitet oder nutzt.“ 

b) Der bisherige Absatz 2 wird Absatz 3 und wie folgt 
geändert: 

aa) Nach dem Wort „kann“ werden die Wörter 
„im Falle des Absatzes 1“ eingefügt. 

bb) Nach den Wörtern „Deutsche Mark“ werden 
die Wörter ,„in den übrigen Fällen mit einer 
Geldbuße bis zu fünfhunderttausend Deutsche 
Mark“ eingefügt. ‘ 

Begründung 

Dieser Änderungsvorschlag ergänzt die übrigen Vor- 
schläge zu §§ 43 und 44 BDSG, wonach künftig nicht 
mehr jeder unbefugte Umgang mit personenbezogenen 
Daten unter Strafe gestellt werden soll. Durch die vor- 
gesehene Erweiterung des § 44 BDSG sollen gleichzei- 
tig die Voraussetzungen geschaffen werden, dass zu- 
künftig jede unbefugte Erhebung und weitere Verarbei- 
tung personenbezogener Daten von den zuständigen 
Kontrollbehörden nach Maßgabe des Opportunitäts- 
prinzips als Ordnungswidrigkeit verfolgt werden kann. 

Die drei Vorschläge zur Neufassung der §§ 43 und 44 
BDSG entsprechen der Konzeption, die den vergleich- 
baren Regelungen der Datenschutzgesetze mehrerer 
Länder zugrunde hegt. 

Zu Buchstabe a 

Nach den Änderungsvorschlägen zu § 43 Abs. 1 und 2 
sollen Verstöße gegen datenschutzrechtliche Vorschrif- 
ten zukünftig grundsätzlich nur dann strafbar sein, 
wenn der Täter gegen Entgeh oder in Bereicherungs- 
oder Schädigungsabsicht handelt. Auf der anderen 
Seite soll der unbefugte Umgang mit personenbezoge- 
nen Daten in den Fällen des neuen Absatzes 2 als Ord- 
nungswidrigkeit verfolgt werden können. Damit wer- 
den die zuständigen Behörden in die Lage versetzt, 
nach Maßgabe des Opportunitätsprinzips einzelne Da- 
tenschutzverstöße effektiv verfolgen zu können. 

Zu Buchstabe b 

Der Bußgeldrahmen soll künftig in Absatz 3 geregelt 
werden. 
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Nach der bisherigen Vorschrift des § 44 Abs. 2 konnten 
Ordnungswidrigkeiten mit einem Bußgeld von bis zu 
50 000 DM geahndet werden. Im Hinblick auf die „for- 
mellen“ Verstöße gegen einzelne Verfahrensvorschrif- 
ten, die Gegenstand des Ordnungswidrigkeitenkatalogs 
des Absatzes 1 sind, erscheint die Beibehaltung des bis- 
herigen Bußgeldrahmens insoweit angemessen und 
ausreichend. 

Demgegenüber stellen die zukünftig in Absatz 2 gere- 
gelten „materiellen“ Datenschutzverstöße insbeson- 
dere dann einen schwerwiegenden Eingriff in das Recht 
auf informationelle Selbstbestimmung dar, wenn per- 
sönliche Daten einer Vielzahl von betroffenen Personen 
unbefugt erhoben und verarbeitet werden, um diese in 
Adress-, Häuser- oder vergleichbare Datenbanken ein- 
zustellen und für wirtschaftliche Zwecke zu nutzen, ln 
diesen Fällen kann es im Einzelfall notwendig sein, ent- 
sprechend hohe Bußgelder zu verhängen. 

Mit der Erweiterung des Bußgeldrahmens für Fälle eines 
Verstoßes gegen die „materiell-rechtlichen“ Datenschutz- 
vorschriften wird im Übrigen den Anforderungen des Ar- 
tikels 28 Abs. 3 der EG-Datenschutzrichtlinie Rechnung 
getragen, wonach die staatlichen Kontrollbehörden über 
wirksame Eingriffsbefugnisse verfügen sollen. 

18. Zu Artikel 8 § 2 Nr. 16 (§ 82 Satz 1 SGB X) 

In Artikel 8 § 2 Nr. 16 ist in § 82 Satz 1 das Wort 
„schuldhaft“ zu streichen. 

Begründung 

Vergleiche Begründung zu Ziffer 6. 


19. Zu Artikel 8a - neu - (Änderung des Strafvollzugsge- 
setzes) 

Nach Artikel 8 ist folgender Artikel 8a einzufügen: 

, Artikel 8a 

Änderung des Strafvollzugsgesetzes 

Das Strafvollzugsgesetz vom 16. März 1976 (BGBl. I 
S. 581, 2088, 1977 I S. 436), zuletzt geändert durch ... 
wird wie folgt geändert: 

1. In §179 Abs. 2 Satz 2 wird die Angabe „§ 13 Abs. 2 
bis 4“ durch die Angabe „§ 4 Abs. 2 bis 4“ ersetzt. 

2. In § 184 Abs. 5 wird die Angabe „§ 20 Abs. 1 bis 7“ 
durch die Angabe „§ 20 Abs. 1 bis 4 und 6 bis 8“ er- 
setzt. 

3. In § 187 Satz 1 werden 

a) die Angabe „(§ 4 Abs. 2 und 3)“ durch die An- 
gabe „(§ 4a Abs. 1 und 2)“ 

und 

b) die Angabe „(§ 1 8 Abs. 2 und 3)“ durch die An- 
gabe „(§ 18 Abs. 2)“ ersetzt.' 

Begründung 

Die Änderungen von datenschutzrechtlichen Bestim- 
mungen des Strafvollzugsgesetzes, die ihrerseits auf 
einzelne Bestimmungen des Bundesdatenschutzgeset- 
zes verweisen, sind durch die im Rahmen der Novellie- 
rung geänderte Zählweise der Vorschriften im 
Bundesdatenschutzgesetz bedingt. 
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